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DECRETI PRESIDENZIALI 


DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI 
MINISTRI 6 novembre 2015. 


Disciplina della firma digitale dei documenti classificati. 
(Decreto n. 4/2015). 


IL PRESIDENTE 
DEL CONSIGLIO DEI MINISTRI 


Vista la legge 3 agosto 2007, n. 124, recante “Sistema 
di informazione per la sicurezza della Repubblica e nuova 
disciplina del segreto”; 


Visto il regolamento (UE) n. 910/2014 del Parlamento 
europeo e del Consiglio, del 23 luglio 2014, in materia di 
identificazione elettronica e servizi fiduciari per le tran- 
sazioni elettroniche nel mercato interno e che abroga la 
direttiva 1999/93/CE; 


Viste le disposizioni in materia di protezione e tutela 
delle informazioni classificate; 


Visto il decreto del Presidente della Repubblica del 
28 dicembre 2000, n. 445, recante “Testo unico delle di- 
sposizioni legislative e regolamentari in materia di docu- 
mentazione amministrativa”; 


Visto il decreto legislativo del 7 marzo 2005, n. 82, e 
successive modificazioni, recante ‘Codice dell’ammini- 
strazione digitale” (CAD); 


Visto il decreto del Presidente del Consiglio dei mini- 
stri dell’11 aprile 2002 recante “Schema nazionale per la 
valutazione e la certificazione della sicurezza delle tec- 
nologie dell’informazione, ai fini della tutela delle infor- 
mazioni classificate, concernenti la sicurezza interna ed 
esterna dello Stato”; 


Visto il decreto del Presidente del Consiglio dei mi- 
nistri del 22 febbraio 2013 recante “Regole tecniche in 
materia di generazione, apposizione e verifica delle firme 
elettroniche avanzate, qualificate e digitali, ai sensi degli 
articoli 20, comma 3, 24, comma 4, 28, comma 3, 32, 
comma 3, lettera 5), 35, comma 2, 36, comma 2, e 71; 


Visto il decreto del Presidente del Consiglio dei mi- 
nistri 12 giugno 2009, n. 7, recante “Determinazione 
dell’ambito dei singoli livelli di segretezza, dei soggetti 
con potere di classifica, dei criteri d’individuazione delle 
materie oggetto di classifica nonché dei modi di accesso 
nei luoghi militari o definiti di interesse per la sicurezza 
della Repubblica”; 


Visto il decreto del Presidente del Consiglio dei mini- 
stri 22 luglio 2011, n. 4, recante “Disposizioni per la tute- 
la amministrativa del segreto di Stato e delle informazioni 
classificate”; 


Visto l’art. 7, comma 1, lettera g), del suddetto decreto 
del Presidente del Consiglio dei ministri, che attribuisce 
la funzione di autorità di certificazione all’Ufficio centra- 
le per la segretezza, nonché l’art. 75 concernente l’ema- 
nazione di nuove disposizioni tecniche al fine di adeguare 
la disciplina applicativa in materia di tutela amministrati- 
va del segreto di Stato e delle informazioni classificate ai 
principi del suddetto decreto; 


Vista la deliberazione del Centro nazionale per l’in- 
formatica nella pubblica amministrazione (CNIPA) 
n. 45/2009 del 21 maggio 2009 concernente le ”’Rego- 
le per il riconoscimento e la verifica del documento in- 
formatico” così come modificata dalla “Determinazione 
Commissariale 28 luglio 2010”; 


Visto l’art. 2, comma 6, del decreto legislativo del 7 mar- 
zo 2005, n. 82, secondo cui le disposizioni del CAD non si 
applicano limitatamente all’esercizio delle attività e funzioni 
di ordine e sicurezza pubblica, difesa e sicurezza nazionale; 


Considerato che le classifiche di segretezza sono attribu- 
ite per limitare la circolazione di informazioni la cui even- 
tuale diffusione non autorizzata sia idonea ad arrecare un 
pregiudizio agli interessi fondamentali della Repubblica; 


Visto il decreto del Presidente del Consiglio dei mini- 
stri 22 febbraio 2013 recante “Regole tecniche in materia 
di generazione, apposizione e verifica delle firme elettro- 
niche avanzate, qualificate e digitali, ai sensi degli articoli 
20, comma 3, 28, comma 4, 28, comma 3, 32, comma 3, 
lettera 5), 35, comma 2, 36, comma 2, e 71”; 


Visto il decreto del Presidente del Consiglio dei mi- 
nistri 13 novembre 2014, recante “Regole tecniche in 
materia di formazione, trasmissione, copia, duplicazione, 
riproduzione e validazione temporale dei documenti in- 
formatici nonché di formazione e conservazione dei do- 
cumenti informatici delle pubbliche amministrazioni ai 
sensi degli articoli 20, 22, 23-bis, 23-ter, 40, comma 1, 
41, e 71, comma |, del Codice dell’amministrazione di- 
gitale di cui al citato decreto legislativo n. 82 del 2005”; 


Visto l’art. 4, comma 3, lettera /), della legge 3 ago- 
sto 2007, n. 124, così come modificato con decreto-legge 
1° luglio 2009, n. 78, convertito con legge 3 agosto 2009 
n. 102, il quale prevede che il Dipartimento delle infor- 
mazioni per la sicurezza assicura l’attuazione delle dispo- 
sizioni impartite dal Presidente del Consiglio dei ministri 
con apposito regolamento adottato ai sensi dell’art. 1, 
comma 2, ai fini della tutela amministrativa del segreto 
di Stato e delle classifiche di segretezza, vigilando altresì 
sulla loro corretta applicazione; 

Visto il decreto legislativo 30 giugno 2003, n. 196, re- 
cante “Codice in materia di protezione dei dati personali”; 

Visto l’art. 43 della legge 3 agosto 2007, n. 124, che 
consente l’adozione di regolamenti in deroga alle dispo- 
sizioni dell’art. 17 della legge 23 agosto 1998, n. 400, e 
successive modificazioni e, dunque, in assenza del parere 
del Consiglio di Stato; 

Ravvisata la necessità di regolamentare l’impiego delle pro- 
cedure di firma digitale per i documenti informatici classificati; 

Acquisito il parere tecnico dell’ Agenzia per l’Italia di- 
gitale di cui alla legge 7 agosto 2012, n. 134; 

Consultato il Garante per la protezione dei dati 
personali; 

Acquisito il parere del Comitato parlamentare per la 
sicurezza della Repubblica; 

Sentito il Comitato interministeriale per la sicurezza 
della Repubblica; 


dr 
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ADOTTA 


il seguente regolamento: 


Capo I 
PRINCIPI GENERALI 


Art. 1. 
Definizioni 


1. Ai fini del presente regolamento sono definiti: 


a) “Autorità nazionale per la sicurezza (ANS)”, il 
Presidente del Consiglio dei ministri nell’esercizio delle 
funzioni di tutela amministrativa del segreto di Stato e 
delle informazioni classificate; 


b) “Autorità di certificazione (CA)”, l’ente nazionale 
che effettua la certificazione, rilascia il certificato quali- 
ficato, pubblica e aggiorna gli elenchi dei certificati so- 
spesi e revocati. La CA si avvale di altre entità chiamate 
Autorità Locali di Registrazione (LRA), per garantire che 
l’utente richiedente un certificato sia esattamente quello 
riportato nel certificato stesso; 


c) “Autorità di registrazione locale (LRA)”, l’ente 
responsabile della verifica in modo affidabile delle identi- 
tà dei titolari istituita presso tutti i soggetti, pubblici e pri- 
vati, in possesso delle previste abilitazioni di sicurezza; 

d) “CAD”, il decreto legislativo del 7 marzo 2005 
n. 82 e successive modificazioni, recante ‘Codice 
dell’amministrazione digitale”; 


e) ‘certificate revocation list (CRL)”, la lista conse- 
guente alle operazioni con cui la CA annulla la validità di 
un certificato da un dato momento, non retroattivo, in poi. 
Tale elenco è firmato digitalmente, aggiornato e pubbli- 
cato dalla CA; 


)) “certificate suspension list (CSL)”, la lista conse- 
guente alle operazioni con cui la CA sospende tempora- 
neamente la validità di un certificato da un dato momento, 
non retroattivo, in poi. Tale elenco è firmato digitalmente, 
aggiornato e pubblicato dalla CA; 


g) “certificato elettronico”, attestato elettronico che 
collega all’identità del titolare 1 dati utilizzati per verifica- 
re le firme elettroniche; 


h) “certificato qualificato”, un certificato elettronico 
conforme ai requisiti di cui all’allegato I della direttiva 
1999/93/CE, rilasciati da certificatori che rispondono ai 
requisiti di cui all’allegato II della medesima direttiva; 


i) “certificazione”, il risultato della procedura in- 
formatica, applicata alla chiave pubblica e rilevabile dai 
sistemi di validazione, mediante la quale si garantisce la 
corrispondenza univoca tra chiave pubblica e soggetto ti- 
tolare, si identifica quest’ultimo, si attesta il periodo di 
validità della predetta chiave e il termine di scadenza del 
relativo certificato; 


0) “chiavi asimmetriche”, la coppia di chiavi critto- 
grafiche, una pubblica e una privata, correlate tra loro, 
utilizzate nell’ambito dei sistemi di validazione e di ge- 
nerazione della firma; 
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m) “chiave privata”, elemento della coppia di chiavi 
asimmetriche,utilizzato dal soggetto titolare, mediante il 
quale si appone la firma digitale sul documento informatico; 


n) ‘chiave pubblica”, l'elemento della coppia di 
chiavi asimmetriche destinato a essere reso pubblico, con 
il quale si verifica la firma digitale apposta sul documento 
informatico dal titolare delle chiavi asimmetriche; 


o) “codici personali”, codici alfanumerici o caratte- 
ristiche biometriche in possesso del titolare e necessarie 
per attivare le procedure di firma digitale; 


p) “copia per immagine su supporto informatico di 
documento analogico”, il documento informatico avente 
contenuto e forma identici a quelli del documento analo- 
gico da cui è tratto; 


q) “copia informatica di documento informatico”, il 
documento informatico avente contenuto identico a quel- 
lo del documento da cui è tratto su supporto informatico 
con diversa sequenza di valori binari; 


r) “crittografia”, metodo di codifica e protezione dei 
dati, definito per impedire ad estranei di accedere alle in- 
formazioni senza essere dotati di autorizzazione; 


s) “Dipartimento delle informazioni per la sicurez- 
za” (DIS), l’organismo di cui all’art. 4 della legge; 

t) “dispositivo di firma”, insieme dei dispositivi har- 
dware e software che consentono di sottoscrivere con fir- 
ma digitale i documenti informatici; 


u) “Direttiva”, il provvedimento in materia di docu- 
menti informatici classificati adottato ai sensi dell’art. 75 
del decreto del Presidente del Consiglio dei ministri 
22 luglio 2011, n. 4; 


v) “Disciplinare Tecnico” documento che contiene le 
regole tecniche che disciplinano la sottoscrizione digitale 
del documento informatico; 


z) “documento”, rappresentazione in formato 
analogico o informatico di atti, fatti e dati intelligibi- 
li direttamente o attraverso un processo di elaborazione 
elettronica; 


aa) “documento analogico”, il documento formato 
utilizzando una grandezza fisica che assume valori con- 
tinui, come le tracce su carta (ad esempio i documenti 
cartacei), le immagini su film (microfilm), le magnetizza- 
zioni su nastro (cassette e nastri magnetici audio); 


bb) “documento informatico”, la rappresentazione 
informatica di atti, fatti o dati giuridicamente rilevanti, 
formata e gestita su un sistema per l’elaborazione auto- 
matica dei dati; 


cc) “documento informatico classificato”, un docu- 
mento informatico, formato e gestito su un sistema per 
l’elaborazione automatica dei dati omologato dall’UCSe, 
a cui è stata apposta una classifica di segretezza in confor- 
mità a quanto stabilito dalle vigenti norme in materia di 
protezione e tutela delle informazioni classificate; 

dd) “duplicato informatico”, il documento informa- 
tico ottenuto mediante la memorizzazione, sullo stesso 
dispositivo o su dispositivi diversi, della medesima se- 
quenza di valori binari del documento originario; 

ee) “esibizione”, l'operazione che consente di visua- 
lizzare un documento conservato e di ottenerne, eventual- 
mente, copia; 
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JD “firma digitale”, un particolare tipo di firma elettronica: 
1) basata su un certificato qualificato; 


2) basata su un sistema di chiavi crittografiche, una 
pubblica e una privata, correlate tra loro, che consente al tito- 
lare tramite la chiave privata e al destinatario tramite la chiave 
pubblica rispettivamente, di rendere manifesta e di verificare 
la provenienza e l’integrità di un documento informatico o di 
un insieme di documenti informatici, nonché eventualmente 
il momento dell’apposizione della firma medesima; 


3) realizzata mediante un dispositivo sicuro per la 
creazione della firma; 


gg) “firma elettronica”, l’insieme di dati in forma 
elettronica, allegati oppure connessi tramite associazione 
logica ad altri dati elettronici, utilizzati come metodo di 
identificazione informatica; 


hh) “firme multiple”, firme digitali apposte da diver- 
si sottoscrittori allo stesso documento informatico; 


ii) “integrità”, caratteristica dei dati che si riferisce al 
loro livello di alterazione o danno; 


II) “formato di un file”, un modo particolare col qua- 
le le informazioni sono codificate per la memorizzazione 
su un dispositivo di memoria; 


mm) “legge”, la legge 3 agosto 2007, n. 124; 


nn) “Manuale Operativo”, documento che contiene 
le regole tecniche che disciplinano l’attività della CA; 


00) “Organo nazionale di sicurezza (ONS)”, il Diret- 
tore generale del Dipartimento delle informazioni per la 
sicurezza di cui all’art. 4 della legge nell’esercizio delle 
funzioni di direzione e coordinamento dell’Organizzazio- 
ne nazionale di sicurezza, di cui all’art. 5 del decreto del 
Presidente del Consiglio dei ministri 22 luglio 2011, n. 4, 
e secondo le direttive impartite dall’ ANS; 


pp) “public key infrastructure (PKI)”, l’insieme di 
tecnologie, politiche, processi e persone utilizzate per ge- 
stire (generare, distribuire, archiviare, utilizzare, revoca- 
re) chiavi di crittografia e certificati digitali in sistemi di 
crittografia a chiave pubblica; 


qq) “registrazione di protocollo”, l'operazione con 
cui si attribuisce ai documenti prodotti o ricevuti da un 
soggetto una numerazione univoca secondo un ordine 
cronologico progressivo e si annotano informazioni de- 
scrittive idonee all’identificazione di ciascun documento; 


rr) “revoca di un certificato”, l’operazione con cui la 
CA annulla la validità del certificato da un dato momento, 
non retroattivo, in poi; 


ss) “riferimento temporale”, l'informazione, contenente 
la data, che viene associata ad uno o più documenti informatici; 


tt) “riservatezza”, garanzia che le informazioni ven- 
gano utilizzate unicamente dalle persone o dalle organiz- 
zazioni autorizzate; 


uu) “segnatura di protocollo”, l’apposizione o l’as- 
sociazione all’originale del documento, in forma perma- 
nente non modificabile, delle informazioni riguardanti il 
documento stesso; consente di individuare ciascun docu- 
mento in modo univoco ed è effettuata congiuntamente 
all’operazione di registrazione di protocollo; 

vv) “sospensione del certificato”, l’operazione con 
cui la CA sospende la validità del certificato per un deter- 
minato periodo di tempo; 
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zz) “titolare”, persona fisica titolare di un certificato, os- 
sia il legittimo possessore e utilizzatore della chiave privata 
associata alla chiave pubblica che compare nel certificato; 


aaa) “Ufficio centrale per la segretezza” (UCSe), 
l'Ufficio istituito dall’art. 9 della legge; 

bbb) “validazione temporale”, il risultato della procedu- 
ra informatica, con cui si attribuisce, ad uno o più documenti 
informatici, un riferimento temporale opponibile ai terzi; 


ccc) “validità del certificato”, l'efficacia e opponibi- 
lità al titolare della chiave pubblica, dei dati contenuti nel 
certificato stesso. 


Art. 2. 
Oggetto e ambito di applicazione 


1. Le disposizioni del presente regolamento si applicano 
a tutti i soggetti, pubblici e privati, in possesso delle previ- 
ste abilitazioni di sicurezza per il trattamento di informa- 
zioni classificate e disciplinano le modalità di generazione, 
apposizione e verifica delle firme digitali nonché la valida- 
zione temporale di documenti informatici classificati. 


2. Quanto previsto al precedente comma 1 si applica 
anche ai documenti informatici non classificati, quando 
formati, sottoscritti e gestiti su sistemi omologati in con- 
formità a quanto previsto dalla normativa vigente in ma- 
teria di tutela delle informazioni classificate. 


Capo II 


DOCUMENTO INFORMATICO CLASSIFICATO 
E FIRMA DIGITALE 


Art. 3. 


Documenti informatici classificati 


1. Ai documenti informatici di cui all’art. 2, si applica 
l’art. 20, comma 1, del CAD, in relazione alla validità e rile- 
vanza agli effetti di legge, se formati secondo quanto previsto 
dalla Direttiva e dal Disciplinare Tecnico di cui all’art. 33. 

2.1 documenti informatici di cui all’art. 2, comma 1, 
sottoscritti con firma digitale, devono essere corredati di: 


a) riferimento temporale opponibile a terzi secondo 
quanto previsto dall’art. 13; 

b) classifica di segretezza, qualifica di sicurezza e 
altre informazioni, secondo quanto previsto dalle disposi- 
zioni in materia di protezione e tutela delle informazioni 
classificate. 


3.I documenti informatici di cui all’art. 2, comma 2, 
sottoscritti con firma digitale, devono essere corredati di 
riferimento temporale opponibile a terzi secondo quanto 
previsto dall’art. 13. 


4. Per la sottoscrizione di documenti informatici di cui 
all’art. 2, aventi rilevanza esclusivamente interna, ciascun 
soggetto, pubblico e privato, può adottare nella propria 
autonomia specifiche modalità tecniche, organizzative e 
procedurali, nel rispetto di quanto previsto dalle norme in 
materia di protezione e tutela delle informazioni classifi- 
cate e di quanto definito dal Disciplinare Tecnico di cui 
all’art. 33. 
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5. Ai documenti informatici di cui all’art. 2 non si ap- 
plica il comma 1 se contengono macroistruzioni o codici 
eseguibili, tali da attivare funzionalità che possano mo- 
dificare gli atti, i fatti o i dati nello stesso rappresentati. 


6. L’apposizione di una firma digitale basata su un cer- 
tificato qualificato revocato, scaduto o sospeso equivale 
a mancata sottoscrizione. La revoca o la sospensione, 
comunque motivate, hanno effetto dal momento della 
pubblicazione delle liste di sospensione e revoca di cui 
all’art. 22. 


7.Ai documenti informatici di cui all’art. 2 si applica 
quanto previsto dall’art. 21, comma 2-bis, del CAD, in 
relazione alle scritture private ed al requisito della forma 
scritta, se formati secondo quanto stabilito dalla Direttiva 
e dal Disciplinare Tecnico di cui all’art. 33. 


8. Ai documenti informatici di cui al comma 4, ove sot- 
toscritti con modalità diverse dalla firma digitale, si ap- 
plica quanto previsto dall’art. 20, comma 1-bis, del CAD, 
in relazione al requisito della forma scritta ed al valore 
probatorio. 


9. Ai documenti informatici di cui all’art. 2 si applica 
l’art. 21, comma 2, del CAD, se formati secondo quanto 
stabilito dalla Direttiva e dal Disciplinare Tecnico di cui 
all’art. 33. 


10. Restano ferme le disposizioni di legge in materia di 
protezione dei dati personali. 


Art. 4. 


Copie per immagine su supporto informatico 
di documenti analogici 


1. Le copie per immagine su supporto informatico di 
documenti originali formati in origine su supporto ana- 
logico o, comunque, non informatico, sono prodotte me- 
diante processi e strumenti, secondo le modalità stabilite 
dalla Direttiva e dal Disciplinare Tecnico di cui all’art. 33 
che assicurino che il documento informatico abbia conte- 
nuto e forma identici a quelli del documento analogico da 
cui sono tratte. 


2. Alle copie per immagine di cui al comma 1 si applica 
l’art. 22, commi Ll e 2, del CAD, in relazione all’efficacia 
ai sensi degli articoli 2714 e 2715 del codice civile, alla 
loro esibizione e produzione, nonché all’efficacia pro- 
batoria, se la loro conformità agli originali da cui sono 
estratte è attestata da un pubblico ufficiale a ciò autorizza- 
to, con dichiarazione allegata al documento informatico 
ed asseverata secondo le modalità stabilite dalla Direttiva 
e dal Disciplinare Tecnico di cui all’art. 33. 


Art. 5. 


Copie analogiche di documenti informatici 


1. Alle copie su supporto analogico 0, comunque, non 
informatico di documenti informatici di cui all’art. 2, 
si applica l’art. 23, comma 1, del CAD, se la loro con- 
formità all’originale da cui sono tratte è attestata da un 
pubblico ufficiale a ciò autorizzato, secondo le modalità 
stabilite dalla Direttiva e dal Disciplinare Tecnico di cui 
all’art. 33. 
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Art. 6. 


Copie informatiche di documenti informatici 
e duplicati informatici 


1. A condizione che la conformità all’originale sia at- 
testata da un pubblico ufficiale a ciò autorizzato ed asse- 
verata secondo le modalità stabilite dalla Direttiva e dal 
Disciplinare Tecnico di cui all’art. 33, l’art. 23-bis, com- 
ma 2, del CAD si applica: 


a) alle copie informatiche di documenti informatici 
di cui all’art. 2, se prodotte con un processo che ne assi- 
curi la distinguibilità rispetto all’originale o ad altra copia 
da cui sono tratte, secondo quanto previsto dalla Direttiva 
e dal Disciplinare Tecnico di cui all’art. 33; 


b) agli estratti informatici di documenti informatici 
di cui all’art. 2, prodotti secondo quanto previsto dalla 
Direttiva e dal Disciplinare Tecnico di cui all’art. 33. 


2. I duplicati informatici di documenti informatici di 
cui all’art. 2 sono prodotti mediante processi e strumenti, 
secondo le modalità stabilite dalla Direttiva e dal Disci- 
plinare Tecnico di cui all’art. 33, che assicurino che i do- 
cumenti informatici ottenuti contengano la stessa sequen- 
za di bit dei documenti informatici di origine. 


Art. 7. 
Firma digitale 


1. La firma digitale garantisce l’identificabilità dell’au- 
tore, l'integrità e l’immodificabilità del documento. 


2. La firma digitale dei documenti informatici di cui 
all’art. 2 deve riferirsi in maniera univoca ad un solo sog- 
getto ed al documento o all’insieme di documenti cui è 
apposta o associata. 


3. Per la generazione della firma digitale di documenti 
informatici di cui all’art. 2, deve adoperarsi un certifica- 
to qualificato che, al momento della sottoscrizione, non 
risulti scaduto di validità ovvero non risulti revocato o 
sospeso. 


4. Attraverso il certificato qualificato si devono rilevare 
la validità del certificato stesso, nonché gli elementi iden- 
tificativi del titolare e della CA e gli eventuali limiti d’uso. 


5. Le modalità di apposizione della firma digitale ai 
documenti informatici di cui all’art. 2 sono definite nel 
Disciplinare Tecnico di cui all’art. 33. 


Art. 8. 


Caratteristiche generali delle chiavi 
per la generazione e la verifica della firma 


1. Ai fini del presente decreto, le chiavi di generazione 
e verifica della firma si distinguono secondo le seguenti 
tipologie: 
a) chiavi di sottoscrizione, destinate alla generazio- 
ne e verifica delle firme apposte o associate ai documenti 
informatici; 


b) chiavi di certificazione, destinate alla generazione 
e verifica delle firme apposte o associate ai certificati rela- 
tivi alle chiavi di sottoscrizione e alle informazioni sullo 
stato di validità del certificato. 
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2. Non è consentito l’uso di una coppia di chiavi per 
funzioni diverse da quelle previste, per ciascuna tipolo- 
gia, dal comma 1, salvo che, con riferimento esclusivo 
alle chiavi di cui al medesimo comma 1, lettera 5), la CA 
non ne autorizzi l’utilizzo per altri scopi. 


3. La CA può individuare ulteriori tipologie di coppie 
di chiavi rispetto a quelle indicate nel comma 1, determi- 
nandone l’ambito d’impiego e disciplinandone l’utilizzo 
nel Disciplinare Tecnico di cui all’art. 33. 


4. Se il soggetto appone la sua firma per mezzo di una 
procedura automatica, deve utilizzare una coppia di chia- 
vi diversa da tutte le altre in suo possesso. 


5. Se la procedura automatica di cui al comma 3 fa uso 
di un insieme di dispositivi sicuri per la generazione delle 
firme del medesimo soggetto, deve essere utilizzata una 
coppia di chiavi diversa per ciascun dispositivo utilizzato 
dalla procedura automatica. 


Art. 9. 


Modalità di generazione delle chiavi 


1. Le chiavi di certificazione sono generate in presen- 
za del responsabile del servizio di certificazione di cui 
all’art. 28, comma 1, lettera b). 


2. Le chiavi di sottoscrizione sono generate dalla CA 
secondo le modalità indicate nel Manuale Operativo di cui 
all’art. 32. 


3. La generazione delle chiavi di sottoscrizione avvie- 
ne all’interno di un dispositivo sicuro per la generazione 
delle firme approvato dall’UCSe e che presenti le caratte- 
ristiche di cui all’art. 11 del presente regolamento. 


Art. 10. 


Conservazione delle chiavi e dei dati 
per la generazione della firma 


1. È vietata la duplicazione della chiave privata e la 
duplicazione dei dispositivi che la contengono. 


2. È vietata l’esportazione, dal dispositivo sicu- 
ro di firma, della chiave privata relativa alle chiavi di 
sottoscrizione. 


3. E consentito che le chiavi di certificazione vengano 
esportate, purché ciò avvenga con modalità tali da non 
ridurre il livello di sicurezza e di riservatezza delle chiavi 
stesse. 


4. Con modalità descritte nel Disciplinare Tecnico è 
possibile eseguire il back up e restore dei dati contenu- 
ti nel cryptoprocessore per le chiavi digitali denominato 
Hardware Security Module. 


5. Il titolare della coppia di chiavi: 


a) assicura la custodia del dispositivo di firma e 
l’adozione di tutte le misure organizzative e tecniche ido- 
nee in ottemperanza a quanto definito nel Manuale Ope- 
rativo di cui all’art. 32; 


b) conserva i codici personali di abilitazione all’uso 
della chiave privata separatamente dal dispositivo conte- 
nente la chiave; 
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c) richiede immediatamente, secondo quanto indi- 
cato nel Manuale Operativo di cui all’art. 32, la revoca 
dei certificati qualificati relativi alle chiavi contenute in 
dispositivi di firma difettosi o di cui abbia perduto il pos- 
sesso, o qualora abbia il ragionevole dubbio che essi sia- 
no stati usati abusivamente da persone non autorizzate. 


Art. ll. 


Dispositivi sicuri e procedure per la generazione 
della firma 


1. I dispositivi sicuri e le procedure utilizzate per la 
generazione delle firme devono presentare requisiti di si- 
curezza tali da garantire che la chiave privata: 


a) sia riservata; 


b) non possa essere derivata e che la relativa firma 
sia protetta da contraffazioni; 


c) possa essere sufficientemente protetta dal titolare 
dall’uso da parte di terzi. 


2.1 documenti informatici di cui all’art. 2 devono es- 
sere presentati al titolare, prima dell’apposizione della 
firma, chiaramente e senza ambiguità, e si deve richie- 
dere conferma della volontà di generare la firma secondo 
quanto previsto nel Disciplinare Tecnico di cui all’art. 33. 


3. Il comma2 non si applica alle firme apposte con pro- 
cedura automatica. La firma con procedura automatica è 
valida se apposta previo consenso del titolare all’adozio- 
ne della procedura medesima. Il titolare che appone la sua 
firma mediante una procedura automatica deve utilizzare 
un certificato diverso da tutti gli altri in suo possesso. 


4. La generazione della firma avviene all’interno di un 
dispositivo sicuro per la generazione delle firme ovvero su 
un sistema informatico che realizza un dispositivo sicuro 
per la generazione delle firme secondo le modalità stabilite 
dal Disciplinare Tecnico di cui all’art. 33, così che non sia 
possibile l’intercettazione della chiave privata utilizzata. 


5. Il dispositivo sicuro per la generazione delle firme 
deve poter essere attivato esclusivamente dal titolare me- 
diante codici personali prima di procedere alla generazio- 
ne della firma. 


6. La personalizzazione del dispositivo sicuro di firma 
garantisce: 


a) l’acquisizione da parte della CA dei dati identifi- 
cativi del dispositivo sicuro utilizzato e della loro associa- 
zione al titolare; 


b) la registrazione nel dispositivo sicuro del certifi- 
cato relativo alle chiavi di sottoscrizione del titolare. 


7. Nel dispositivo sicuro di firma è ammessa la memo- 
rizzazione di altri certificati oltre quello di firma digitale 
e altri oggetti atti ad assicurare ulteriori funzionalità di 
sicurezza, secondo le modalità riportate nel Disciplinare 
Tecnico di cui all’art. 33. 


8. La personalizzazione del dispositivo sicuro per 
la generazione delle firme può prevedere, per l’utilizzo 
nelle procedure di firma, la registrazione nel medesimo 
dispositivo del certificato elettronico relativo alla chiave 
pubblica della CA, la cui corrispondente privata è stata 
utilizzata per sottoscrivere il certificato relativo alle chia- 
vi di sottoscrizione del titolare. 
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9. La personalizzazione del dispositivo sicuro per la 
generazione delle firme è registrata nel giornale di con- 
trollo di cui all’art. 26. 


10. La CA di cui all’art. 15, avvalendosi delle LRA di 
cui all’art. 16, adotta, nel processo di personalizzazione 
del dispositivo sicuro per la generazione delle firme, pro- 
cedure atte ad identificare il titolare di un dispositivo si- 
curo per la generazione delle firme e dei certificati in esso 
contenuti. 


11. Le modalità di personalizzazione del dispositivo 
sicuro per la generazione delle firme sono indicate nel 
Manuale Operativo di cui all’art. 32. 


12. La procedura di firma deve generare, come risul- 
tato, un file il cui formato rientri tra quelli elencati nel 
Disciplinare Tecnico di cui all’art. 33. 


13. Le modalità per l’apposizione di firme multiple 
sono indicate nel Disciplinare Tecnico di cui all’art. 33. 


Art. 12. 


Verifica delle firme digitali 


1. I sistemi di verifica delle firme digitali devono essere 
conformi a quanto indicato nel Disciplinare Tecnico di 
cui all’art. 33. 


2. L’UCSe accerta la conformità dei sistemi di verifica 
di cui al comma 1. 


Art. 13. 


Riferimenti temporali opponibili ai terzi 


1. Costituisce validazione temporale opponibile ai terzi 
il riferimento temporale contenuto nella segnatura di pro- 
tocollo informatico. 


2. Eventuali ed ulteriori modalità per l’apposizione di 
un riferimento temporale opponibile ai terzi saranno indi- 
cate nel Disciplinare Tecnico di cui all’art. 33. 


3. I riferimenti temporali apposti sul giornale di con- 
trollo, secondo quanto indicato nel Manuale Operativo di 
cui all’art. 32, sono opponibili ai terzi. 


Art. 14. 


Valore della firma digitale nel tempo 


1. La firma digitale apposta ad un documento informa- 
tico di cui all’art. 2, ancorché sia scaduto, revocato o so- 
speso il connesso certificato qualificato relativo alle chia- 
vi di sottoscrizione, è valida se alla stessa è associabile 
un riferimento temporale opponibile ai terzi che colloca 
la generazione di detta firma digitale in un momento pre- 
cedente alla sospensione, scadenza o revoca del suddetto 
certificato. 
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Capo II 


INFRASTRUTTURA A CHIAVE PUBBLICA 
(PUBLIC KEY INFRASTRUCTURE) 


Art. 15. 


Autorità di certificazione 


1. Presso l’UCSe è istituita la CA, quale certificatore 
nazionale per i servizi di certificazione relativi alla firma 
digitale di documenti informatici di cui all’art. 2. 

2.La CA, di cui al comma l: 

a) rilascia certificati qualificati sulla base delle ri- 
chieste autenticate dalle LRA di cui all’art. 16, secon- 
do le modalità riportate nel Manuale Operativo di cui 
all’art. 32; 

b) revoca e sospende 1 certificati in accordo a quanto 
disposto dall’art. 22; 

c) aggiorna e distribuisce le liste di revoca/sospen- 
sione dei certificati secondo le modalità descritte nel Ma- 
nuale Operativo di cui all’art. 32. 


Art. 16. 


Autorità locali di registrazione 


1. Presso gli enti e le organizzazioni che intendono 
avvalersi delle procedure di sottoscrizione digitale dei 
documenti informatici di cui all’art. 2 viene istituita, 
nell’ambito delle rispettive organizzazioni di sicurezza, 
una LRA. 

2. La LRA è accreditata da parte della CA secondo le 
modalità e le procedure operative descritte nel Manuale 
Operativo di cui all’art. 32. 

3. La LRA procede al riconoscimento fisico delle per- 
sone, raccoglie i dati di interesse al fine di stabilirne le 
generalità ed il possesso delle abilitazioni di sicurezza ed 
invia l’insieme delle informazioni necessarie al rilascio 
del Certificato alla CA, secondo quanto indicato nel Ma- 
nuale Operativo di cui all’art. 32. 

4. La LRA deve comunicare tempestivamente alla CA 
le variazioni dei dati relativi al personale gestito ai fini 
dell’eventuale aggiornamento delle liste di dei certificati 
revocati e sospesi. 


5. La LRA nell’ambito della propria organizzazione: 
a) gestisce le richieste di certificazione; 


b) gestisce le richieste di revoca e sospensione dei 
certificati; 


c) distribuisce i dispositivi sicuri di firma che con- 
tengono 1 certificati qualificati generati dalla CA ai titolari 
accreditati unitamente alle credenziali. 


6. La LRA è responsabile, per dolo o colpa grave, del 
danno cagionato a chi abbia fatto ragionevole affidamento 
sulla corretta procedura di riconoscimento delle persone, 
della raccolta dell’aggiornamento dei dati e del possesso 
delle necessarie autorizzazioni. 


7.La LRA è responsabile, per dolo o colpa grave, nei 
confronti di terzi dei danni provocati per effetto della 
mancata o non tempestiva comunicazione degli aggiorna- 
menti relativi alla perdita dei requisiti di firma. 
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Art. 17. 


Comunicazione tra CA e LRA 


1. Le comunicazioni tra CA ed LRA avvengono se- 
condo le modalità indicate nel Manuale Operativo di cui 
all’art. 32. 


Art. 18. 


Generazione delle chiavi di certificazione 


1. La generazione delle chiavi di certificazione da parte 
della CA avviene in modo conforme a quanto indicato nel 
Disciplinare Tecnico di cui all’art. 33. 


Art. 19. 


Certificati qualificati relativi alle chiavi di sottoscrizione 


1. Per i certificati qualificati si fa riferimento a quanto 
previsto dal regolamento (UE) n. 910/2014. 


2. L'emissione di certificati qualificati relativi alle chia- 
vi di sottoscrizione avviene a seguito di una richiesta del- 
la LRA che ha l’obbligo di: 


a) accertare l’autenticità della richiesta secondo 
quanto previsto dall’ art. 16 comma 3; 


b) assicurare la consegna al legittimo titolare. 


3. Il termine del periodo di validità del certificato qua- 
lificato relativo alle chiavi di sottoscrizione è anteriore al 
termine del periodo di validità del certificato delle chiavi 
di certificazione utilizzato per verificarne l’autenticità. 


4. L’emissione dei certificati qualificati è registrata nel 
giornale di controllo di cui all’art. 26 specificando il rife- 
rimento temporale relativo alla registrazione. 


5. I certificati qualificati relativi alle chiavi di sottoscri- 
zione devono contenere almeno le seguenti informazioni: 


a) indicazione che il certificato elettronico rilasciato 
è un certificato qualificato; 


b) numero di serie o altro codice identificativo del 
certificato; 


c) denominazione e nazionalità della CA; 


d) nome, cognome o uno pseudonimo chiaramente 
identificato come tale del titolare del certificato; 


e) dati per la verifica della firma, cioè i dati peculiari, 
come codici o chiavi crittografiche pubbliche, utilizzati 
per verificare la firma elettronica corrispondenti ai dati 
per la generazione della stessa in possesso del titolare; 


/) indicazione del termine iniziale e finale del perio- 
do di validità del certificato; 


g) firma digitale della CA, realizzata in conformità 
alle regole tecniche definite nel Disciplinare Tecnico di 
cui all’art. 33 ed idonea a garantire l’integrità e la ve- 
ridicità di tutte le informazioni contenute nel certificato 
medesimo. 

6. Il certificato qualificato può inoltre contenere: 

a) le qualifiche specifiche del titolare, quali l’ap- 
partenenza ad ordini o collegi professionali, la qualifi- 
ca di pubblico ufficiale, l’iscrizione ad albi o il posses- 
so di altre abilitazioni professionali, nonché poteri di 
rappresentanza; 


== agi 
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b) i limiti d’uso del certificato, inclusi quelli derivan- 
ti dalla titolarità delle qualifiche e dai poteri di rappresen- 
tanza di cui alla precedente lettera 4) ai sensi dell’art. 20, 
comma 3; 

c) limiti del valore degli atti unilaterali e dei contratti 
per i quali il certificato può essere usato, ove applicabili. 


7. Il titolare, ovvero il terzo dal quale derivano 1 poteri 
del titolare, comunicano tempestivamente alla CA per il 
tramite della LRA il modificarsi o venir meno delle circo- 
stanze oggetto delle informazioni personali di cui ai pre- 
cedenti commi 4 e 5. 


8. Le informazioni personali contenute nel certificato 
sono utilizzabili unicamente per identificare il titolare 
della firma digitale e per verificare la firma del documen- 
to informatico. 


9. La CA determina il periodo di validità del certificato 
qualificato relativo alle chiavi di sottoscrizione in funzio- 
ne della robustezza crittografica delle chiavi impiegate. 


10. La CA determina, riportandolo nel Disciplinare 
Tecnico di cui all’art. 33, il periodo massimo di validità 
del certificato relativo alle chiavi di sottoscrizione in fun- 
zione degli algoritmi e delle caratteristiche delle chiavi 
impiegate. 

11. Le modalità di formazione del certificato qualificato 
sono riportate nel Disciplinare Tecnico di cui all’art. 33. 


12. La CA e la LRA conservano tutte le informazio- 
ni relative al certificato qualificato, per un periodo pari a 
venti anni, dal momento della sua emissione. 


Art. 20. 
Responsabilità della CA 


1.La CA cherilascia un certificato qualificato è respon- 
sabile, ove sia provato che abbia agito per dolo o colpa 
grave, del danno cagionato a chi abbia fatto ragionevole 
affidamento: 


a) sull’esattezza e sulla completezza delle informa- 
zioni necessarie per la verifica della firma in esso con- 
tenute alla data del rilascio e per il rispetto dei requisiti 
fissati per i certificati qualificati; 

b) sulla garanzia della corrispondenza, al momento 
del rilascio del certificato, tra i dati comunicati dalla LRA 
per la creazione della firma ed i dati per la verifica della 
firma riportati o identificati nel certificato. 


2.La CA che rilascia un certificato qualificato è respon- 
sabile, ove sia provato che abbia agito per dolo o colpa 
grave, nei confronti dei terzi che facciano affidamento sul 
certificato qualificato da essa rilasciato, dei danni provo- 
cati per effetto della mancata o non tempestiva registra- 
zione della revoca o sospensione del certificato, secondo 
quanto previsto dal Disciplinare Tecnico di cui all’art. 33. 


3. Il certificato qualificato può contenere limiti d’uso 
ovvero un valore limite per i negozi per i quali può essere 
usato il certificato stesso, purché i limiti d’uso o il valore 
limite siano riconoscibili da parte dei terzi e siano chiara- 
mente evidenziati nel certificato secondo quanto previsto 
dal Disciplinare Tecnico di cui all’art. 33. La CA non è 
responsabile dei danni derivanti dall’uso di un certificato 
qualificato che ecceda i limiti posti dallo stesso o derivan- 
ti dal superamento del valore limite. 
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Art. 21. 


Codice di emergenza 


1. Per ciascun certificato qualificato emesso, la CA 
fornisce al titolare, per il tramite della LRA, almeno un 
codice riservato, da utilizzare per richiedere la sospensio- 
ne del certificato relativo alle chiavi di sottoscrizione nei 
casi di emergenza indicati nel Manuale Operativo di cui 
all’art. 32 e comunicati al titolare. 


2. La richiesta di cui al comma 1 è successivamente 
confermata utilizzando una delle modalità descritte nel 
Manuale Operativo di cui all’art. 32. 


Art. 22. 


Revoca e sospensione di certificati qualificati relativi 
alle chiavi di sottoscrizione 


1. La CA revoca o sospende il certificato, di iniziativa 
o su richiesta della LRA, nei seguenti casi: 


a) il soggetto ovvero la sua organizzazione di appar- 
tenenza non sono più abilitati a trattare dati classificati; 


b) a seguito di richiesta, per il tramite della LRA, del 
titolare o del terzo dal quale derivano i poteri del titolare 
ovvero dalla LRA stessa, secondo le modalità previste nel 
Manuale Operativo di cui all’art. 32; 


c) in presenza di abusi o falsificazioni; 


d) per la compromissione della chiave privata o del 
dispositivo sicuro per la generazione delle firme. 


2.La CA e la LRA conservano le richieste di revoca e 
sospensione per 20 anni. 


3.La CA effettua la sospensione e/o la revoca del certi- 
ficato mediante l’inserimento del suo codice identificati- 
vo nella lista dei certificati sospesi o revocati (CSL/CRL). 


4. La CA comunica, per il tramite della LRA, al titolare 
e all’eventuale terzo interessato, l’avvenuta sospensione 
e/o la revoca specificando la data e l’ora a partire dalla 
quale il certificato risulta sospeso o revocato. 


5. La CA indica, nel Manuale Operativo di cui 
all’art. 32, la durata massima del periodo di sospensione 
e le azioni intraprese al termine dello stesso in assenza di 
diverse indicazioni da parte del soggetto che ha richiesto 
la sospensione. 


6. In caso di revoca di un certificato sospeso, la data 
della stessa decorre dalla data di inizio del periodo di 
sospensione. 


7.La sospensione e la cessazione della stessa sono anno- 
tate nel giornale di controllo di cui all’art. 26 con l’indica- 
zione della data e dell’ora di esecuzione dell’operazione. 


8. La CA comunica, per il tramite della LRA, al titolare 
e all’eventuale terzo interessato la cessazione dello stato 
di sospensione del certificato, che sarà considerato come 
mai sospeso, specificando la data e l’ora a partire dalla 
quale il certificato ha cambiato stato. 


9. Tutte le comunicazioni relative alle operazioni di so- 
spensione e/o revoca dei certificati qualificati avvengono 
secondo le modalità indicate nel Manuale Operativo di 
cui all’art. 32. 
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Art. 23. 


Sostituzione delle chiavi di certificazione e dei certificati 
qualificati relativi alle chiavi di sottoscrizione 


1. La procedura di sostituzione delle chiavi, generate 
dalla CA in conformità all’art. 18, deve assicurare che 
non siano stati emessi certificati qualificati con data di 
scadenza posteriore al periodo di validità del certificato 
relativo alla coppia sostituita. 


2. La sostituzione dei certificati qualificati, generati in 
conformità all’art. 19, avviene in conformità con quanto 
indicato nel Manuale Operativo di cui all’art. 32. 


Art. 24. 


Revoca dei certificati relativi a chiavi di certificazione 


1. La CA procede alla revoca del certificato relativo ad 
una coppia di chiavi di certificazione in caso di compro- 
missione della chiave privata. 


2. Nel caso di cui al comma 1, vengono revocati d’uf- 
ficio tutti 1 certificati sottoscritti con detta chiave secondo 
quanto indicato nel Manuale Operativo di cui all’art. 32. 


Art. 25. 


Piano per la sicurezza 


1. La CA definisce un piano per la sicurezza nel quale 
sono contenuti almeno i seguenti elementi: 


a) struttura generale, modalità operativa e struttura 
logistica; 

b) descrizione dell’infrastruttura di sicurezza per 
ciascun immobile rilevante ai fini della sicurezza; 

c) allocazione dei servizi e degli uffici negli 
immobili; 

d) elenco del personale e sua allocazione negli uffici; 

e) attribuzione delle responsabilità; 

) algoritmi crittografici o altri sistemi utilizzati; 


g) descrizione delle procedure utilizzate nell’attività 
di certificazione; 


h) descrizione dei dispositivi installati; 

i) descrizione dei flussi di dati; 

1) procedura di gestione delle copie di sicurezza dei 
dati; 

m) procedura di gestione dei disastri; 

n) analisi dei rischi; 

o) descrizione delle contromisure; 

p) specificazione dei controlli; 


q) procedura di continuità operativa del servizio di 
pubblicazione delle liste di revoca e sospensione. 


2. Il piano per la sicurezza si attiene anche alle misu- 
re minime di sicurezza per il trattamento dei dati perso- 
nali emanate ai sensi dell’art. 33 del decreto legislativo 
30 giugno 2003, n. 196 ed al decreto del Presidente del 
Consiglio dei ministri 2 dicembre 2014, adottato ai sensi 
dell’art. 58, comma 3, del decreto legislativo 30 giugno 
2003, n. 196. 
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Art. 26. 


Giornale di controllo 


1. Il giornale di controllo è costituito dall’insieme delle 
registrazioni effettuate anche automaticamente dai dispo- 
sitivi installati presso la CA, allorché si verificano le con- 
dizioni previste dal presente decreto. 


2. Le registrazioni possono essere effettuate indipen- 
dentemente anche su supporti distinti e di tipo diverso. 

3. A ciascuna registrazione è apposto un riferimento 
temporale generato con le modalità descritte dal Discipli- 
nare tecnico di cui all’art. 33. 

4. Il giornale di controllo è tenuto in modo da garantire 
l’autenticità delle annotazioni e consentire la ricostruzio- 
ne, con la necessaria accuratezza, di tutti gli eventi rile- 
vanti ai fini della sicurezza. 

5. L’integrità del giornale di controllo è verificata con 
frequenza almeno mensile. 

6. Le registrazioni contenute nel giornale di controllo 
non sono soggette a distruzione o cancellazione. 


Art. 27. 


Sistema di qualità 


1. La CA opererà in conformità a quanto previsto del- 
le norme della serie ISO 9000 in materia di qualità con 
procedure descritte nel Manuale della Qualità che sarà 
emesso congiuntamente al Manuale Operativo ed al Di- 
sciplinare Tecnico di cui all’art. 33. 


Art. 28. 


Organizzazione del personale della CA 


1. L'organizzazione del personale, in possesso delle 
necessarie abilitazioni di sicurezza, addetto al servizio di 
certificazione è composto da: 


a) un responsabile della sicurezza del sistema 
informativo; 


b) un responsabile del servizio di certificazione; 
c) un responsabile della conduzione tecnica dei 
sistemi; 
d) un responsabile dei servizi tecnici e logistici; 
e) un responsabile delle verifiche e delle ispezioni 
(auditing). 
2.1 compiti e le mansioni attribuiti alle figure profes- 


sionali di cui al comma 1 sono indicati nel Manuale Ope- 
rativo di cui all’art. 32. 


Art. 29. 


Organizzazione del personale della LRA 


1. L'organizzazione del personale, in possesso delle ne- 
cessarie abilitazioni di sicurezza, addetto al servizio della 
LRA è composto da: 


a) un responsabile del servizio di registrazione e va- 
lidazione temporale; 


b) un responsabile dei servizi tecnici. 
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2. Compiti e mansioni attribuiti alle figure professiona- 
li di cui al precedente comma sono indicate nel Manuale 
Operativo di cui all’art. 32. 


Art. 30. 
Cessazione della LRA 


1. Nel caso di cessazione della LRA quest’ultima, sal- 
vo diverse prescrizioni contenute nel Manuale Operativo 
di cui all’art. 32, deve consegnare alla CA la documenta- 
zione attinente l’attività svolta. La CA diventa depositaria 
di tale documentazione. 


Art. 31. 


Rappresentazione del documento informatico 


1. Il Disciplinare tecnico di cui all’art. 33 indica 1 for- 
mati e le modalità operative da adottare per la rappresen- 
tazione dei documenti informatici di cui all’art. 2. 


Art. 32. 


Manuale operativo 


1. La CA per svolgimento della sua attività si avvale 
di un Manuale Operativo che deve contenere almeno le 
seguenti informazioni: 


a) dati identificativi della versione del Manuale 
Operativo; 

b) definizione degli obblighi di CA, di LRA e del 
titolare; 

c) modalità di comunicazione fra CA ed LRA; 


d) modalità di identificazione e registrazione degli 
utenti; 


e) modalità di creazione delle chiavi per la genera- 
zione e la verifica della firma; 


/ modalità di emissione dei certificati; 

g) modalità di sospensione e revoca dei certificati; 
h) modalità di sostituzione delle chiavi; 

i) modalità di gestione del registro dei certificati; 
1) modalità di accesso al registro dei certificati; 


m) modalità per l’apposizione e la definizione del 
riferimento temporale; 


n) modalità operative per l’utilizzo del sistema di ve- 
rifica delle firme; 


o) modalità operative per la generazione della firma 
digitale. 


Capo IV 
DISPOSIZIONI FINALI 


Art. 33. 


Norme Tecniche 


1. Il Disciplinare Tecnico è redatto in conformità con 
quanto disposto dalla normativa in materia di protezione 
e tutela delle informazioni classificate. 
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2. Gli algoritmi crittografici utilizzati, la specifica del- 
le chiavi, la precisione dei riferimenti temporali e tutti i 
dettagli tecnico-operativi relativi alle procedure di sotto- 
scrizione dei documenti informatici classificati saranno 
descritti nei documenti di cui al comma 1. 


3. L’organo nazionale di sicurezza emana con propria 
direttiva, entro 12 mesi dall’adozione del presente regola- 
mento, il Disciplinare Tecnico e il Manuale Operativo re- 
cante la disciplina applicativa dei principi e le procedure 
applicate dalla CA nello svolgimento della sua attività di 
cui al presente regolamento, e ne cura l’aggiornamento. 


Art. 34. 


Entrata in vigore 


1. Il presente regolamento non è sottoposto al visto e 
alla registrazione della Corte dei conti in quanto adottato 
ai sensi dell’art. 43 della legge, in deroga alle disposizioni 
di cui all’art. 17, della legge 23 agosto 1988, n. 400. 


2. Il presente regolamento entra in vigore il quindice- 
simo giorno successivo a quello della sua pubblicazione 
nella Gazzetta Ufficiale della Repubblica italiana. 


Roma, 6 novembre 2015 


Il Presidente: RENZI 


15A08534 


DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI 
MINISTRI 6 novembre 2015. 


Disposizioni per la tutela amministrativa del segreto di 
Stato e delle informazioni classificate e a diffusione esclusi- 
va. (Decreto n. 5/2015). 


IL PRESIDENTE 
DEL CONSIGLIO DEI MINISTRI 


Vista la legge 3 agosto 2007, n. 124, recante «Sistema 
di informazione per la sicurezza della Repubblica e nuova 
disciplina del segreto»; 


Visti il Trattato del Nord Atlantico (NATO) ratificato 
con legge 1° agosto 1949, n. 465, e i seguenti atti: Accor- 
do tra gli Stati membri per la tutela della sicurezza delle 
informazioni, approvato dal Consiglio del Nord Atlan- 
tico in data 21 giugno 1996; Documento C-M(2002)49 
«La sicurezza in seno all’Organizzazione del Trattato del 
Nord Atlantico», approvato dal Consiglio del Nord Atlan- 
tico in data 26 marzo 2002; 


Visto il decreto del Presidente del Consiglio dei mi- 
nistri 11 aprile 2002, recante «Schema nazionale per la 
valutazione e la certificazione della sicurezza delle tec- 
nologie dell’informazione, ai fini della tutela delle infor- 
mazioni classificate, concernenti la sicurezza interna ed 
esterna dello Stato», pubblicato nella Gazzetta Ufficiale 
n. 131 del 6 giugno 2002; 

Vista la decisione del Consiglio europeo, n. 2013/488/ 
UE del 23 settembre 2013 sulle norme di sicurezza per 
proteggere le informazioni classificate UE; 
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Vista la decisione della Commissione europea 
2015/444/UE, Euratom del 13 marzo 2015 sulle norme di 
sicurezza per proteggere le informazioni classificate UE; 


Visto il regolamento n. 1049/2001 del Parlamento eu- 
ropeo e del Consiglio del 30 maggio 2001, relativo all’ac- 
cesso del pubblico ai documenti del Parlamento europeo, 
del Consiglio e della Commissione; 


Visto l’accordo interistituzionale del 20 novembre 
2002 tra il Parlamento europeo e il Consiglio relativo 
all’accesso da parte del Parlamento europeo alle informa- 
zioni sensibili del Consiglio nel settore della politica di 
sicurezza e di difesa; 


Visto il decreto del Presidente del Consiglio dei mini- 
stri 8 aprile 2008, recante «Criteri per l’individuazione 
delle notizie, delle informazioni, dei documenti, degli 
atti, delle attività, delle cose e dei luoghi suscettibili di 
essere oggetto di segreto di Stato», pubblicato nella Gaz- 
zetta Ufficiale n. 90 del 16 aprile 2008; 


Visto il decreto del Presidente del Consiglio dei mi- 
nistri 12 giugno 2009, n. 7, recante «Determinazione 
dell’ambito dei singoli livelli di segretezza, dei soggetti 
con potere di classifica, dei criteri d’individuazione delle 
materie oggetto di classifica nonché dei modi di accesso 
nei luoghi militari o definiti di interesse per la sicurez- 
za della Repubblica», pubblicato nella Gazzetta Ufficiale 
n. 154 del 6 luglio 2009; 


Visto il decreto del Presidente del Consiglio dei mi- 
nistri 22 luglio 2011, recante «Disposizioni per la tutela 
amministrativa del segreto di Stato e delle informazioni 
classificate», pubblicato nella Gazzetta Ufficiale n. 203 
del 1° settembre 2011; 


Visto il decreto del Presidente del Consiglio dei mi- 
nistri 20 luglio 2012, n. 1, e ss.mm.ii., recante «Regola- 
mento disciplinante l’organizzazione ed il funzionamento 
degli archivi del DIS, AISE e AISI», pubblicato, per co- 
municato, nella Gazzetta Ufficiale n. 178 del 1° agosto 
2012; 


Visto il decreto del Presidente del Consiglio dei mini- 
stri 26 ottobre 2012, n. 2, recante, nella parte II, «Accerta- 
mento preventivo per il rilascio del Nulla Osta di Sicurez- 
za», pubblicato, per comunicato, nella Gazzetta Ufficiale 
n. 273 del 22 novembre 2012; 


Visto l’accordo interistituzionale del 12 marzo 2014 tra 
il Parlamento europeo e il Consiglio relativo alla trasmis- 
sione al Parlamento europeo e al trattamento da parte di 
quest’ultimo delle informazioni classificate detenute dal 
Consiglio su materie che non rientrano nel settore della 
politica estera e di sicurezza comune; 


Visto l’art. 3, della legge 3 agosto 2007, n. 124, che 
consente al Presidente del Consiglio dei ministri di de- 
legare le funzioni che non sono ad esso attribuite in via 
esclusiva ad un Ministro senza portafoglio o a un Sottose- 
gretario di Stato, denominati «Autorità delegata»; 


Visto l’art. 43, della legge 3 agosto 2007, n. 124, che 
consente l’adozione di regolamenti in deroga alle dispo- 
sizioni dell’art. 17 della legge 23 agosto 1988, n. 400, e 
ss.mm.ii. e, dunque, in assenza del parere del Consiglio 
di Stato; 
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Visto l’art. 4, comma 3, lettera /), della legge 3 ago- 
sto 2007, n. 124, così come modificato con decreto-legge 
1° luglio 2009, n. 78, convertito con legge 3 agosto 2009, 
n. 102, il quale prevede che il Dipartimento delle infor- 
mazioni per la sicurezza assicura l’attuazione delle dispo- 
sizioni impartite dal Presidente del Consiglio dei ministri 
con apposito regolamento adottato ai sensi dell’art. 1, 
comma 2 della medesima legge 3 agosto 2007, n. 124, 
ai fini della tutela amministrativa del segreto di Stato e 
delle classifiche di segretezza, vigilando altresì sulla loro 
corretta applicazione; 


Ravvisata l’esigenza di armonizzare ed integrare le vi- 
genti disposizioni che disciplinano la protezione e la tute- 
la amministrativa delle informazioni coperte da segreto di 
Stato e quelle classificate con le disposizioni normative in 
materia di contratti pubblici, antimafia, prevenzione alla 
corruzione e di tutela delle attività strategiche di rilevanza 
nazionale intervenute successivamente all’entrata in vi- 
gore del decreto del Presidente del Consiglio dei ministri 
22 luglio 2011, n. 4; 


Acquisito il parere del Comitato parlamentare per la 
sicurezza della Repubblica; 


Sentito il Comitato interministeriale per la sicurezza 
della Repubblica; 


ADOTTA 


il seguente regolamento: 


Capo I 
PRINCIPI DI SICUREZZA DELLE INFORMAZIONI 


Art. 1. 
Definizioni 


1. Ai fini del presente regolamento si intende per: 


a) “legge”, la legge 3 agosto 2007, n. 124, e succes- 
sive modificazioni ed integrazioni; 


b) “Sicurezza delle informazioni”, la salvaguardia 
e la continua e completa protezione delle informazioni 
classificate, a diffusione esclusiva o coperte da segreto 
di Stato, attraverso l’adozione di norme e procedure, or- 
ganizzative ed esecutive, nei settori delle abilitazioni di 
sicurezza, della sicurezza fisica, della tecnologia delle in- 
formazioni e delle comunicazioni; 


c) “Autorità nazionale per la sicurezza” (ANS), il 
Presidente del Consiglio dei Ministri nell’esercizio del- 
le funzioni di tutela amministrativa del segreto di Stato 
e delle informazioni classificate o a diffusione esclusiva; 


d) “Autorità delegata”, il Ministro senza portafoglio 
o il Sottosegretario di Stato delegato dal Presidente del 
Consiglio dei Ministri ai sensi dell’art. 3 della legge; 


— 11 — È 


Supplemento ordinario n. 65 alla GAZZETTA UFFICIALE 


Serie generale - n. 284 


e) “Organizzazione nazionale di sicurezza”, il com- 
plesso di Organi, Uffici, unità amministrative, organizza- 
tive, produttive o di servizio della Pubblica amministra- 
zione e di ogni altra persona giuridica, ente, associazione 
od operatore economico legittimati alla trattazione di in- 
formazioni classificate, a diffusione esclusiva o coperte 
da segreto di Stato, le cui finalità consistono nell’assicu- 
rare modalità di gestione e trattazione uniformi e sicure, 
nonché protezione ininterrotta alle informazioni classifi- 
cate, a diffusione esclusiva o coperte da segreto di Stato; 


“Segreto di Stato”, il segreto come definito 
dall’art. 39, comma 1, della legge; 


g) “Informazione coperta da segreto di Stato”, l’in- 
formazione, la notizia, il documento, l’atto, l’attività, la 
cosa 0 il luogo sui quali il vincolo del segreto di Stato 
sla stato apposto o opposto e confermato e, ove possibile, 
annotato; 


h) “Classifica di segretezza”, il livello di segretezza 
attribuito ad un’informazione ai sensi dell’art. 42 della 
legge e dell’art. 4 del decreto del Presidente del Consiglio 
dei ministri n. 7 del 12 giugno 2009; 


i) “Necessità di conoscere”, il principio in base al 
quale l’accesso alle informazioni classificate, a diffusio- 
ne esclusiva o coperte da segreto di Stato è consentito 
esclusivamente alle persone che ne hanno necessità per lo 
svolgimento del proprio incarico; 

1) “Necessità di condividere”, il principio in base al 
quale l’informazione classificata o a diffusione esclusiva 
può esser diffusa nel limitato e controllato circuito di co- 
loro che ne hanno necessità per lo svolgimento del pro- 
prio incarico; 

m) “Originatore”, il soggetto che ha apposto la clas- 
sifica di segretezza all’informazione ai sensi dell’art. 42, 
comma 2, della legge e dell’art. 4, comma 7, del decreto 
del Presidente del Consiglio dei ministri n. 7 del 12 giu- 
gno 2009; 


n) “Qualifica di sicurezza” o “qualifica”, la sigla o 
altro termine convenzionale (es. NATO, UE, altre) che, 
attribuita ad un’informazione, classificata e non, indica 
l’organizzazione internazionale o dell’Unione europea o 
il programma intergovernativo di appartenenza della stes- 
sa e il relativo ambito di circolazione; 


o) “Informazione classificata”, ogni informazione, 
atto, attività, documento, materiale o cosa, cui sia sta- 
ta attribuita una delle classifiche di segretezza previste 
dall’art. 42, comma 3, della legge; 


p) “Documento classificato”, l’informazione classi- 
ficata rappresentata in forma grafica, fotocinematografi- 
ca, elettromagnetica, informatica o in ogni altra forma; 


q) “Materiale classificato”, qualsiasi oggetto, cosa 0 
componente di macchinario, prototipo, equipaggiamento, 
arma, sistema elementare o dispositivo o parte di esso, 
compreso il software operativo, prodotto a mano o mec- 
canicamente, automaticamente o elettronicamente, finito 
o in corso di lavorazione, compresi 1 materiali per la sicu- 
rezza delle comunicazioni (COMSEC), i Communication 
and Information System (CIS), nonché i prodotti della 
Tecnologia dell’Informazione (Information and Commu- 
nication Technology - /C7) coperti da una classifica di 
segretezza; 


5-12-2015 


r) “Declassifica”, la riduzione ad un livello inferiore 
o l’eliminazione della classifica di segretezza già attribu- 
ita ad un’informazione; 


s) “Informazioni non classificate controllate”, le in- 
formazioni non classificate che, in ragione della loro sen- 
sibilità, richiedono misure di protezione minime, indivi- 
duate nelle disposizioni applicative del presente decreto; 


t) “Trattazione delle informazioni classificate, a dif- 
fusione esclusiva o coperte da segreto di Stato”, la gestio- 
ne, l’accesso, la conoscenza, la consultazione, l’elabora- 
zione, la selezione, l’estrazione, il raffronto, l’utilizzo, la 
comunicazione delle informazioni classificate o coperte 
da segreto di Stato o a diffusione esclusiva; 


u) “Gestione dei documenti classificati, a diffusio- 
ne esclusiva o coperti da segreto di Stato”, la protezione 
fisica, logica e tecnica, l’originazione, la spedizione, la 
contabilizzazione, la diramazione, la ricezione, la regi- 
strazione, la riproduzione, la conservazione, la custodia, 
l’archiviazione, il trasporto e la distruzione legittima dei 
documenti classificati, nonché la preparazione dei relativi 
plichi; 

v) “Informazioni a diffusione esclusiva”, informa- 
zioni la cui diffusione è limitata al solo ambito nazionale 
italiano, unitamente o meno ad uno o più ambiti nazionali 
stranieri, per motivi di protezione di interessi strategici 
nazionali e delle relazioni con Paesi stranieri negli ambiti 
di cui all’art. 40, attraverso la limitazione della conosci- 
bilità di informazioni a persone in possesso della sola cit- 
tadinanza italiana, unitamente o meno a persone che pos- 
seggono la sola cittadinanza di uno o più Paesi stranieri, 
mediante l’indicazione “ESCLUSIVO ITALIA” ovvero 
“ESCLUSIVO ITALIA e (denominazione del o dei Paesi 
stranieri)”; 


z) “Nulla osta di sicurezza” per le persone fisiche 
- in seguito NOS - il provvedimento che legittima alla 
trattazione di informazioni classificate SEGRETISSIMO, 
SEGRETO o RISERVATISSIMO coloro che hanno la ne- 
cessità di conoscerle; 


aa) “Violazione della sicurezza”, azioni od omissio- 
ni contrarie ad una disposizione in materia di protezione e 
tutela delle informazioni classificate o coperte da segreto 
di Stato, che potrebbero mettere a repentaglio o compro- 
mettere le informazioni stesse; 


bb) ‘“Compromissione di informazioni classificate”, 
la conseguenza negativa di violazione della sicurezza che 
deriva dalla conoscenza di informazioni classificate o co- 
perte da segreto di Stato da parte di persona non auto- 
rizzata ovvero non adeguatamente abilitata ai fini della 
sicurezza 0 che non abbia la necessità di conoscerle; 


cc) “Operatore economico”, l’imprenditore, il for- 
nitore e il prestatore di servizi o il raggruppamento o il 
consorzio di essi, come definiti all’art. 3 del decreto legi- 
slativo 12 aprile 2006, n. 163; 


dd) “Nulla Osta di Sicurezza Industriale Strategico” 
(NOSIS), il provvedimento che abilita l'operatore econo- 
mico, la cui attività assume rilevanza strategica per gli 
interessi nazionali, alla trattazione di informazioni classi- 
ficate e alla partecipazione a gare d’appalto e procedure 
finalizzate all’affidamento di contratti classificati e quali- 
ficati NATO e UE e alla relativa esecuzione; 
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ee) “Abilitazione Preventiva” (AP), il provvedimen- 
to che consente all’operatore economico la partecipazio- 
ne a gare d’appalto o a procedure classificate finalizzate 
all’affidamento di contratti classificati RISERVATISSI- 
MO e SEGRETO ovvero qualificati; 


7) “Nulla Osta di Sicurezza Industriale” (NOSI), 
il provvedimento che abilita l’operatore economico alla 
trattazione e gestione di informazioni classificate e con- 
sente di partecipare a gare d’appalto o a procedure classi- 
ficate finalizzate all'affidamento di contratti con classifica 
superiore a SEGRETO, anche qualificati, nonché, in caso 
di aggiudicazione, di eseguire lavori, fornire beni e servi- 
zi, realizzare opere, studi e progettazioni ai quali sia stata 
attribuita una classifica di segretezza RISERVATISSIMO 
o superiore ovvero qualificati; 


gg) “Sicurezza fisica”, il complesso delle misure di 
sicurezza destinate alla protezione fisica delle strutture, 
delle aree, degli edifici, degli uffici, dei sistemi di comu- 
nicazione e di informazione e di qualunque altro luogo 
dove sono trattate o custodite informazioni classificate o 
coperte da segreto di Stato; 


hh) “INFOSEC” (sicurezza delle informazioni), le 
misure di sicurezza atte a tutelare le informazioni clas- 
sificate o coperte da segreto di Stato, elaborate e memo- 
rizzate con sistemi informatici e trasmesse con sistemi di 
comunicazione ed altri sistemi elettronici; 


ii) “COMSEC” (sicurezza delle comunicazioni), le 
misure di sicurezza crittografica, delle trasmissioni, fisica 
e del personale, finalizzate a garantire la protezione del- 
le informazioni classificate o coperte da segreto di Stato, 
trattate attraverso sistemi di comunicazione, nonché ad 
impedirne la conoscenza da parte di soggetti non autoriz- 
zati. I materiali COMSEC comprendono i materiali crit- 
tografici in senso stretto (CIFRA) ed i materiali a control- 
lo COMSEC (CCI — COMSEC Controlled Item), come 
disciplinato dall’art. 53; 


II) “Communication and Information System” (o 
“CIS”) è il complesso di apparati, aree ad accesso riser- 
vato, personale abilitato, hardware, software e procedure 
operative, finalizzato all’elaborazione, memorizzazione e 
trasmissione di informazioni classificate o coperte da se- 
greto di Stato, attraverso sistemi informatici; 


mm) “Sicurezza CIS” (Communication and Infor- 
mation System), le misure di sicurezza volte ad assicurare 
la protezione dei CIS; 


nn) “TEMPEST”, le tecnologie atte ad eliminare, o 
ridurre entro valori non pericolosi ai fini della sicurezza, 
le emissioni prodotte dalle apparecchiature elettroniche 
che elaborano e trattano informazioni classificate o coper- 
te da segreto di Stato; 


00) “Sicurezza cibernetica”, l’insieme delle misu- 
re di sicurezza da attuare per limitare le vulnerabilità e 
contrastare gli attacchi informatici che, anche attraverso 
le connessioni di rete, possono causare danni alle infra- 
strutture o sistemi informatici che trattano informazioni 
classificate, a diffusione esclusiva o coperte da segreto 
di Stato; 
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pp) “omologazione dei laboratori TEMPEST, dei 
CIS, dei centri e dei sistemi COMSEC”, processo struttu- 
rato di verifica della conformità del sistema ad un insieme 
di requisiti tecnici di sicurezza predeterminati; 


qq) “autorizzazione” l’abilitazione temporanea dei 
CIS all’esercizio, subordinata a condizioni e limiti di 
utilizzo; 


rr) “criteri di valutazione”, i criteri applicati per la 
valutazione di soluzioni tecnologiche sotto il profilo della 
sicurezza definiti da standard riconosciuti a livello inter- 
nazionale NATO e UE che, consentono il mutuo ricono- 
scimento di un prodotto o di un sistema ICT; 


ss) “Schema nazionale di certificazione”, l'insieme 
delle regole e delle procedure nazionali per la valutazione 
e certificazione di prodotti e sistemi ICT; 


tt) “Ente di certificazione”, l’organismo pubblico re- 
sponsabile della certificazione dei prodotti e dei sistemi 
informatici, dell’accreditamento dei centri di valutazione 
nonché della definizione, dell’applicazione e dell’aggior- 
namento dello schema nazionale; 


uu) “Centro di valutazione (CE.VA.)”, un organismo 
accreditato dall’UCSe, per le valutazioni di sicurezza di 
un prodotto o di un sistema ICT. 


Art. 2. 


Ambito di applicazione 


1. Il presente decreto si applica alle informazioni co- 
perte da segreto di Stato o da classifica di segretezza 
nazionale, ovvero da classifica attribuita nel quadro del 
Trattato del Nord Atlantico, dell’Unione europea o di 
qualunque altro accordo o organizzazione internazionale 
di cui l’Italia è parte, o a diffusione esclusiva, che soggetti 
pubblici e privati abbiano necessità di trattare per motivi 
istituzionali, d'impresa o contrattuali. 


2. Fermo restando quanto previsto dalla legge in mate- 
ria di esercizio della funzione giurisdizionale e di diritto 
di difesa, le disposizioni di cui al presente regolamento, 
fatta eccezione per quelle in materia di NOS nei confron- 
ti degli appartenenti ad ogni magistratura nell’esercizio 
delle funzioni giurisdizionali, si applicano agli uffici di 
cui all’art. 3 del regio decreto 30 gennaio 1941, n. 12, 
e successive modificazioni e integrazioni, nonché agli 
analoghi uffici presso altri organi giurisdizionali, anche ai 
fini di quanto previsto dall’art. 42, comma 8, della legge. 


Art. 3. 


Obiettivi 


1. Le disposizioni in materia di sicurezza delle infor- 
mazioni perseguono i seguenti obiettivi: 


a) tutelare le informazioni classificate, o coperte da 
segreto di Stato o a diffusione esclusiva, dalla sottrazione, 
manomissione, distruzione, manipolazione, spionaggio 0 
rivelazione non autorizzata; 
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b) salvaguardare le informazioni classificate, o co- 
perte da segreto di Stato, o a diffusione esclusiva, trattate 
con reti e sistemi informatici e con prodotti delle tecno- 
logie dell’informazione da minacce che possano pregiu- 
dicare confidenzialità, integrità, disponibilità, autenticità 
e non ripudio o non disconoscimento dell’informazione; 


c) preservare le installazioni, gli edifici e i locali 
all’interno dei quali vengono trattate informazioni classi- 
ficate, o coperte da segreto di Stato, o a diffusione esclu- 
siva, da atti di sabotaggio e da qualsiasi altra azione fina- 
lizzata ad arrecare danni alle stesse. 


2. L’accesso alle informazioni classificate è consenti- 
to soltanto alle persone che, fermo restando il possesso 
del NOS quando richiesto, hanno necessità di conoscerle 
in funzione del proprio incarico. La conoscenza delle in- 
formazioni coperte da segreto di Stato è regolata ai sensi 
dell’art. 39, comma 2, della legge. 


3. L’accesso alle informazioni contrassegnate come 
ESCLUSIVO ITALIA è consentito soltanto alle persone 
che hanno necessità di conoscerle in funzione del pro- 
prio incarico ed in possesso della sola cittadinanza ita- 
liana. L'accesso alle informazioni contrassegnate come 
ESCLUSIVO ITALIA e (denominazione di uno o più 
Paesi), fermo restando il principio della necessità di co- 
noscere, è consentito soltanto alle persone in possesso 
della sola cittadinanza italiana e della sola cittadinanza 
dei Paesi individuati. 


Capo II 


AUTORITÀ NAZIONALE PER LA SICUREZZA. 
ORGANIZZAZIONE NAZIONALE PERLA 
SICUREZZA 


Art. 4. 


Autorità nazionale per la sicurezza 


1. L’Autorità nazionale per la sicurezza: 


a) ha l’alta direzione delle attività concernenti la 
protezione e la tutela delle informazioni classificate a dif- 
fusione esclusiva o coperte da segreto di Stato trattate da 
qualunque soggetto, pubblico o privato, sottoposto alla 
sovranità nazionale, anche in attuazione di accordi inter- 
nazionali e della normativa dell’Unione europea; 


b) adotta ogni disposizione ritenuta necessaria ai fini 
di cui alla lettera a), assicurando altresì l’armonizzazio- 
ne delle disposizioni di tutela delle informazioni classi- 
ficate a carattere settoriale con le disposizioni previste 
dal presente regolamento e dai provvedimenti attuativi o 
collegati; 


c) provvede ai sensi di legge, in caso di mancata 
conferma del segreto di Stato all’autorità giudiziaria, a 
declassificare gli atti, i documenti, le cose o i luoghi 0g- 
getto di classifica di segretezza, prima che siano messi a 
disposizione dell’autorità giudiziaria competente; 


d) adotta le deliberazioni di competenza conseguen- 
ti alle comunicazioni dell’autorità giudiziaria riguardanti 
l’opposizione in giudizio del segreto di Stato; 
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e) dispone la proroga, nei casi previsti dalla legge, 
dell’efficacia delle classifiche di segretezza oltre il termi- 
ne di quindici anni; 

) determina gli indirizzi per la negoziazione e per 
l’attuazione degli accordi con gli altri Stati e con gli Or- 
ganismi internazionali finalizzati alla tutela delle infor- 
mazioni classificate coperte da segreto di Stato o a dif- 
fusione esclusiva. Ai medesimi fini, ferme restando le 
vigenti disposizioni in tema di diritto dei trattati, può au- 
torizzare l’Organo nazionale di sicurezza di cui all’art. 6 
alla stipula dei relativi atti negoziali; 


g) promuove l’adozione, nel quadro delle normative 
in materia di sicurezza delle informazioni vigenti in ambito 
parlamentare e presso altri organi costituzionali e di rilie- 
vo costituzionale, di misure finalizzate a garantire livelli 
di protezione delle informazioni classificate e a diffusione 
esclusiva analoghi a quelli previsti dal presente regolamen- 
to e da organizzazioni internazionali di cui l’Italia è parte. 

2. Per l’esercizio delle sue funzioni, l’ Autorità nazio- 
nale per la sicurezza si avvale dell’Organizzazione nazio- 
nale per la sicurezza. 


Art. 5. 


Organizzazione nazionale per la sicurezza 


1. L'Organizzazione nazionale per la sicurezza si articola in: 
a) Organo nazionale di sicurezza; 
b) Ufficio centrale per la segretezza; 
c) Organi centrali di sicurezza; 
d) Organi periferici di sicurezza; 
e) Organizzazioni di sicurezza presso gli operatori 
economici. 


2. Presso gli Organi centrali di sicurezza sono costituite 
Segreterie principali di sicurezza per l’assolvimento dei 
compiti di cui all’art. 9. 


3. Possono essere, altresì, costituiti Segreterie di sicu- 
rezza e Punti di controllo, alle dipendenze funzionali di 
Organi centrali di sicurezza o di Organi periferici di sicu- 
rezza, secondo quanto previsto dall’art. 11. 


4. L’esercizio di funzioni dell’Organo nazionale di 
sicurezza e dell'Ufficio Centrale per la Segretezza può 
essere delegato agli Organi centrali di sicurezza ed agli 
Organi periferici di sicurezza. 


Art. 6. 


Organo nazionale di sicurezza 


1. Il Direttore generale del Dipartimento delle informazioni 
per la sicurezza di cui all’art. 4 della legge, quale Organo nazio- 
nale di sicurezza esercita le funzioni di direzione e coordina- 
mento dell’Organizzazione nazionale per la sicurezza e, secon- 
do le direttive impartite dall’ Autorità nazionale per la sicurezza: 


a) assicura, nell’ambito dell’organizzazione della 
sicurezza, l’attuazione delle disposizioni regolamentari 
e di ogni altra disposizione emanata dall’ Autorità nazio- 
nale per la sicurezza in materia di tutela amministrativa 
del segreto di Stato, delle classifiche di segretezza e della 
diffusione esclusiva, vigilando altresì sulla loro corretta 
applicazione; 
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b) emana le direttive e le disposizioni attuative in 
materia di tutela delle informazioni classificate o coperte 
da segreto di Stato o a diffusione esclusiva; in partico- 
lare, emana le disposizioni sui requisiti per l’istituzione 
delle articolazioni e delle altre strutture dell’Organizza- 
zione nazionale di sicurezza, la gestione e trattazione dei 
documenti classificati o coperti da segreto di Stato o di 
diffusione esclusiva, la sicurezza delle reti e dei sistemi 
informatici per la trattazione delle informazioni classifi- 
cate o coperte da segreto di Stato o di diffusione esclusi- 
va, nonché le procedure per il servizio cifra; 


c) adotta i provvedimenti concernenti l’Organiz- 
zazione nazionale per la sicurezza. A tal fine autorizza, 
secondo i principi determinati a norma della lettera 5) e 
anche mediante delega, l’istituzione, il cambio di deno- 
minazione e l’estinzione: 


1) delle Segreterie speciali COSMIC-ATOMAL- 
UE/SS e COSMIC-UE/SS, dei Punti di Controllo CO- 
SMIC-ATOMAL-UE/SS e COSMIC-UE/SS; 

2) delle Segreterie principali di sicurezza; 

3) degli organi periferici di sicurezza; 

d) è l’autorità responsabile in ambito nazionale della sicu- 
rezza delle informazioni classificate della NATO e dell’Unio- 
ne Europea, secondo le disposizioni di tali organizzazioni; 

e) negozia e stipula, previa autorizzazione dell’ Au- 
torità nazionale per la sicurezza e sulla base degli indi- 
rizzi dalla stessa emanati, accordi generali di sicurezza 
per la protezione e tutela delle informazioni classificate e 
a diffusione esclusiva con altri Paesi, con organizzazioni 
internazionali, con 1’ Unione europea e con altri organismi 
istituiti ai sensi del diritto dell’Unione medesima ovvero 
con soggetti dotati di personalità giuridica internazionale; 


/) assicura i rapporti con le autorità di sicurezza degli 
altri Paesi o di altri Organismi internazionali per la prote- 
zione e tutela amministrativa delle informazioni classifi- 
cate e a diffusione esclusiva; 


g) sovrintende e vigila sul corretto funzionamento 
dell’Organizzazione nazionale per la sicurezza. 


Art. 7. 


Ufficio centrale per la segretezza 


1. Secondo le direttive impartite dall’Organo nazionale di 
sicurezza, l'Ufficio centrale per la segretezza (UCSe) svolge 
funzioni di direzione e di coordinamento, di consulenza e 
di controllo sull’applicazione della normativa in materia di 
protezione e tutela delle informazioni classificate, a diffusio- 
ne esclusiva e del segreto di Stato. A tal fine l’UCSe: 


a) cura gli adempimenti istruttori relativi all’eserci- 
zio delle funzioni dell’ Autorità nazionale per la sicurezza 
a tutela del segreto di Stato; 


b) predispone le disposizioni esplicative volte a garan- 
tire la sicurezza delle informazioni classificate, a diffusione 
esclusiva o coperte da segreto di Stato, con riferimento sia ad 
atti, documenti e materiali, sia alla produzione industriale; 


c) autorizza, in deroga alle disposizioni di cui 
all’art. 9, comma 1, ed all’art. 11, commi 6 e 7, l’istitu- 
zione di Segreterie principali di sicurezza, Segreterie di 
sicurezza e Punti di controllo, secondo quanto previsto 
dagli art. 9, comma 4, e 11, comma 8; 
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d) cura l’attività preparatoria e la predisposizione 
per la stipula di schemi di accordi generali di sicurezza 
per la protezione e tutela delle informazioni classificate e 
a diffusione esclusiva con altri Paesi, con organizzazioni 
internazionali, con 1’ Unione europea e con altri organismi 
istituiti ai sensi del diritto dell’Unione medesima ovvero 
con soggetti dotati di personalità giuridica internazionale; 


e) esprime il parere sui progetti di accordi di coo- 
perazione e sui memorandum d’intesa delle Pubbliche 
Amministrazioni che contengono clausole concernenti la 
protezione e tutela delle informazioni classificate e a dif- 
fusione esclusiva; 


Î) definisce le misure di sicurezza cibernetica che 
devono essere adottate a protezione dei sistemi e delle in- 
frastrutture informatiche che trattano informazioni classi- 
ficate, a diffusione esclusiva o coperte da segreto di Stato; 
fornisce consulenza ai fini della realizzazione di reti di 
comunicazione telematica protette ai fini dell’attuazio- 
ne del decreto del Presidente del Consiglio dei ministri 
24 gennaio 2013 in materia di sicurezza dello spazio ci- 
bernetico; promuove la realizzazione di reti di comunica- 
zione telematica protetta con le organizzazioni di sicurez- 
za pubbliche e private; 


g) assicura l’attuazione degli adempimenti previ- 
sti dalle disposizioni in materia di trattazione e gestio- 
ne dei documenti informatici classificati firmati digital- 
mente ed assume in tale settore la funzione di autorità di 
certificazione; 


h) rilascia e revoca le abilitazioni di sicurezza e, an- 
che mediante delega, i NOS; 


i) rilascia, ai sensi dell’accordo interistituzionale del 
20 novembre 2002 tra il Parlamento europeo e il Consi- 
glio, le abilitazioni di sicurezza ai parlamentari europei di 
nazionalità italiana; 


1) rilascia e revoca, anche mediante delega ad or- 
gani centrali di sicurezza di pubbliche amministrazioni 
le omologazioni dei centri COMSEC di cui all’art. 57 e 
le autorizzazioni personali per l’accesso CIFRA di cui 
all’art. 55; 


m) rilascia e revoca anche mediante delega ad orga- 
ni centrali di sicurezza di pubbliche amministrazioni le 
autorizzazioni e omologazioni dei CIS di cui all’art. 63; 


n) rilascia e revoca, anche avvalendosi di idonee 
strutture pubbliche o private abilitate, le omologazioni 
per l’impiego dei dispositivi COMSEC e le certificazioni 
TEMPEST di cui all’art. 59; 


o) conserva ed aggiorna l’elenco completo di tutti i 
soggetti muniti di NOS; 


p) aggiorna e dirama l’elenco delle Segreterie prin- 
cipali di sicurezza; 


q) sottopone al Presidente del Consiglio dei Ministri 
le richieste di autorizzazione alla segretazione presentate 
ai sensi dell’art. 9, comma 10, della legge; 


r) provvede agli adempimenti istruttori per l’apposi- 
zione e la conferma dell’opposizione del segreto di Stato, 
sottoponendo alle determinazioni del Presidente del Con- 
siglio dei ministri, per il tramite dell’ Autorità delegata, la 
documentazione di interesse; 
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s) effettua, direttamente o delegandone l’esecuzione 
ad articolazioni dell’Organizzazione nazionale per la sicu- 
rezza, gli accertamenti e le ispezioni di sicurezza ordinarie 
o straordinarie nei confronti dei soggetti pubblici e privati 
legittimati alla trattazione delle informazioni classificate, a 
diffusione esclusiva o coperte da segreto di Stato, al fine di 
vigilare sulla corretta applicazione delle norme, delle diret- 
tive e delle altre disposizioni adottate in materia; 


t) predispone ed aggiorna, anche in relazione all’os- 
servanza di accordi internazionali e della normativa 
dell’Unione europea, le procedure per le ispezioni di si- 
curezza nei confronti di soggetti pubblici e privati che 
trattano informazioni classificate, a diffusione esclusiva 
o coperte da segreto di Stato; 


u) provvede anche mediante delega all’istruttoria ed 
al rilascio delle autorizzazioni alle visite presso soggetti 
pubblici, enti e operatori economici nazionali che trattano 
informazioni classificate o a diffusione esclusiva; 


v) richiede, anche mediante delega, alle Autorità stra- 
niere l’autorizzazione per le visite a operatori economici, 
enti e uffici esteri, che trattano e gestiscono informazioni, 
atti e documenti classificati o a diffusione esclusiva; 


z) esprime parere vincolante in ordine alla cessione 
di informazioni classificate a Paesi esteri ed organismi 
internazionali anche nei casi di controllo sulle esportazio- 
ni di materiali di armamento previsti dalla legge 9 luglio 
1990, n. 185; autorizza il trasporto internazionale e, se- 
condo le disposizioni applicative del presente decreto, il 
trasporto nazionale dei materiali classificati; 


aa) rilascia le autorizzazioni per la movimentazione, 
in ambito nazionale ed internazionale, di documentazione 
e materiale COMSEC, approvato o autorizzato dall’ UC- 
Se, per la protezione di informazioni classificate o coperte 
da segreto di Stato; 


bb) partecipa presso organizzazioni internazionali e 
istituzioni ed organismi dell’Unione europea, a comitati, 
gruppi di lavoro e riunioni per l’elaborazione di normati- 
ve e di progetti di accordi di sicurezza e di altri atti aven- 
ti ad oggetto la protezione e la tutela delle informazioni 
classificate di mutuo interesse; 


cc) fornisce supporto all’Organo nazionale di sicu- 
rezza quale autorità responsabile in ambito nazionale del- 
la sicurezza delle informazioni classificate della NATO 
e dell’Unione europea, secondo le disposizioni di tali 
organizzazioni; 

dd) valuta le violazioni della sicurezza e le compro- 
missioni di informazioni classificate, delle quali viene 
a conoscenza in sede di attività ispettiva o a seguito di 
segnalazione da parte delle strutture di sicurezza compe- 
tenti, ai fini dell’adozione dei conseguenti provvedimenti; 


ee) tiene ed aggiorna gli elenchi dei materiali e dei 
dispositivi COMSEC e TEMPEST di cui all’art. 59; 


Y) definisce i criteri di sicurezza per le attrezzature e 
dispositivi per la sicurezza fisica ai fini dell’impiego per 
la protezione delle informazioni classificate o coperte da 
segreto di Stato; 

gg) tiene ed aggiorna gli elenchi dei laboratori TEM- 
PEST omologati e dei Centri di Valutazione abilitati di 
cui al decreto del Presidente del Consiglio dei ministri 
11 aprile 2002; 
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hh) nell’ambito dei programmi di cooperazione 
internazionale svolge le funzioni di autorità nazionale 
competente in materia di tutela amministrativa delle in- 
formazioni classificate o a diffusione esclusiva e, in tale 
ambito, può delegare l’esercizio di attività ad altre pubbli- 
che amministrazioni. 


2. Presso V’UCSe sono istituiti: 


a) Ufficio Inventario”, che cura la registrazione 
dei provvedimenti di apposizione, conferma e proroga del 
segreto di Stato e dei documenti coperti da segreto di Sta- 
to, aggiornandone periodicamente la situazione; 


b) V” Archivio degli atti riguardanti il segreto di Sta- 
to” ove sono custoditi gli atti concernenti le istruttorie per 
l’apposizione o la conferma dell’opposizione, la revoca e 
la proroga del segreto di Stato, le istanze di accesso for- 
mulate ai sensi dell’art. 39, comma 7 della legge, nonché 
i registri inventari di cui alla lettera a); 


c) l’”Elenco nazionale dei soggetti muniti di NOS” 
conservato e consultato in via esclusiva dall’UCSe ed 
aggiornato dallo stesso UCSe anche sulla base degli ele- 
menti forniti dalle altre autorità di cui all’art. 24. 


3. Operano altresì nell’ambito dell’UCSe: 


a) il “Registro centrale”, che cura la distribuzione alle 
Segreterie principali di sicurezza dei documenti COSMIC- 
SEGRETISSIMO e ATOMAL pervenuti dalla NATO e dai 
Paesi membri; aggiorna la situazione nazionale dei documenti 
COSMIC-SEGRETISSIMO e ATOMAL distribuiti alle Se- 
greterie principali di sicurezza, nonché di quelli pervenuti alle 
Segreterie principali di sicurezza e alle Segreterie di sicurezza 
e ai Punti di controllo direttamente dalla NATO e dai suoi Paesi 
membri; aggiorna la situazione relativa ai documenti SEGRE- 
TISSIMO nazionali in possesso delle Segreterie principali di 
sicurezza, delle Segreterie di sicurezza e dei Punti di controllo; 


b) Ufficio centrale di registrazione UE SEGRETIS- 
SIMO”, che cura la distribuzione alle Segreterie principali di 
sicurezza dei documenti UE-SEGRETISSIMO che ad esso 
pervengono da istituzioni dell’Unione europea, la registrazio- 
ne di quelli eventualmente pervenuti alle Segreterie principali 
di sicurezza, alle Segreterie di sicurezza e ai Punti di controllo 
direttamente da istituzioni dell’Unione europea, nonché l’ag- 
giornamento della situazione nazionale di tali documenti; 


c) Agenzia nazionale di distribuzione per l’espletamen- 
to delle attività di cui all’art. 3, comma 1, lett. g) del decreto 
del Presidente del Consiglio dei ministri 12 giugno 2009, n. 7. 


4. L’UCSe è: 


a) depositario e responsabile dell’uso del sigillo 
NATO, assegnato all’Italia dal Consiglio del Nord Atlan- 
tico per il trasporto dei documenti e materiali con clas- 
sifica NATO-RISERVATISSIMO o superiore verso altri 
Paesi dell’ Alleanza atlantica, nonché del rilascio dell’ap- 
posito “Certificato di corriere” all’amministrazione che 
dispone il trasporto; 


b) competente al rilascio della “Autorizzazione per 
le scorte di sicurezza” per il trasporto di documenti e 
materiali classificati prodotti dagli operatori economici 
nell’interesse della NATO, nonché del “Certificato di cor- 
riere per il trasporto internazionale a mano di documenti 
e materiali classificati”, riferito a documenti e materiali 
classificati prodotti dagli operatori economici e destinati 
all’estero nell’ambito di programmi internazionali; 
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c) ente di certificazione per la sicurezza informatica 
ai sensi del decreto del Presidente del Consiglio dei mini- 
stri 11 aprile 2002. 


Art. 8. 


Organi centrali di sicurezza 


1. Presso i Ministeri, le strutture governative, lo Stato 
Maggiore della Difesa, le Forze armate, il Segretariato 
Generale della Difesa - Direzione Nazionale degli Arma- 
menti, il Comando Generale dell’ Arma dei Carabinieri, il 
Comando Generale della Guardia di Finanza o gli altri enti 
che, per ragioni istituzionali, hanno la necessità di trattare 
informazioni classificate, a diffusione esclusiva o coperte 
da segreto di Stato la responsabilità relativa alla protezione 
e alla tutela delle medesime, a livello centrale e periferico, 
fa capo rispettivamente al Ministro, all’organo previsto dal 
relativo ordinamento o all’organo di vertice dell’ente. 


2. Le autorità di cui al comma 1 possono delegare l’eser- 
cizio dei compiti e delle funzioni in materia di protezione e 
tutela delle informazioni classificate, a diffusione esclusiva 
o coperte da segreto di Stato ad un funzionario o ufficiale, 
di elevato livello gerarchico, munito di adeguata abilitazio- 
ne di sicurezza, che assume la denominazione di “Funzio- 
nario alla sicurezza” o “Ufficiale alla sicurezza”. Il “Fun- 
zionario alla sicurezza” o “Ufficiale alla sicurezza” svolge 
compiti di direzione, coordinamento, controllo, nonché 
attività ispettiva e di inchiesta in materia di protezione e tu- 
tela delle informazioni classificate, a diffusione esclusiva o 
coperte da segreto di Stato, nell’ambito del Ministero, della 
struttura governativa, dello Stato Maggiore della Difesa, 
della Forza armata, del Segretariato Generale della Dife- 
sa - Direzione Nazionale degli Armamenti, del Comando 
Generale dell’ Arma dei Carabinieri, del Comando Gene- 
rale della Guardia di Finanza o dell’ente di appartenenza. 
In mancanza di delega, i predetti compiti sono esercitati 
direttamente dalle autorità di cui al comma 1. 


3. AI fine di assicurare continuità all’esercizio delle fun- 
zioni e dei compiti di protezione e tutela delle informazioni 
classificate, a diffusione esclusiva o coperte da segreto di 
Stato le autorità di cui al comma 1 possono nominare anche 
un “sostituto Funzionario alla sicurezza” o un “sostituto 
Ufficiale alla sicurezza”, con il compito di sostituire il ti- 
tolare dell’incarico in tutti i casi di assenza o impedimento. 


4. Per l’esercizio delle funzioni, il “Funzionario alla 
sicurezza” o “Ufficiale alla sicurezza” si avvale del Capo 
della Segreteria principale di sicurezza di cui all’art. 9, 
denominato “Funzionario di controllo” o “Ufficiale di 
controllo”, coadiuvato da personale esperto nella tratta- 
zione e gestione dei documenti classificati. Nell'ambito 
dello Stato Maggiore della Difesa, delle Forze armate, 
del Segretariato Generale della Difesa - Direzione Nazio- 
nale degli Armamenti, del Comando Generale dell’ Arma 
dei Carabinieri, l’”’Ufficiale alla sicurezza” si avvale del 
Capo Ufficio Sicurezza. 


5. Gli incarichi di “Funzionario alla sicurezza” o “Uf- 
ficiale alla sicurezza” di cui al comma 2 e quello di “Fun- 
zionario di controllo” o “Ufficiale di controllo” di cui al 
comma 4 non possono essere assolti dalla stessa persona, 
salvo casi eccezionali connessi ad esigenze organiche o 
funzionali. 
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6. Per l’esercizio delle sue funzioni, il “Funzionario 
alla sicurezza” o “Ufficiale alla sicurezza” si avvale di un 
“Funzionario alla sicurezza fisica” o “Ufficiale alla sicu- 
rezza fisica”, come definito all’art. 70 e, qualora la tratta- 
zione di informazioni classificate o coperte da segreto di 
Stato comporti l’utilizzo di sistemi COMSEC o CIS di: 


a) un “Funzionario COMSEC” o “Ufficiale COM- 
SEC”, come definito all’art. 54; 


b) un “Funzionario alla sicurezza CIS” o “Ufficiale 
alla sicurezza CIS”, come definito all’art. 61; 


c) un “Centro” come definito all’art. 3, comma 1, 
lett. 7) del decreto del Presidente del Consiglio dei mini- 
stri del 12 giugno 2009, n. 7; 


d) un “Custode del materiale CIFRA”, come definito 
all’art. 54. 


7.Il complesso rappresentato dal “Funzionario alla si- 
curezza” o “Ufficiale alla sicurezza”, dal “Capo Ufficio 
Sicurezza”, dal “Capo della Segreteria principale di si- 
curezza - Funzionario/Ufficiale di controllo ‘, dal “Fun- 
zionario COMSEC” o “Ufficiale COMSEC”, dal “Fun- 
zionario alla sicurezza CIS ‘ o “Ufficiale alla sicurezza 
CIS “, dal “Funzionario alla sicurezza fisica” o “Ufficiale 
alla sicurezza fisica”, dalla stessa Segreteria principale di 
sicurezza, dal “Centro” di cui al comma 6, lett. c) e dal 
“Custode del materiale CIFRA” di cui al comma 6, lett. 
d), costituisce l'Organo centrale di sicurezza. 


8. L’Organo centrale di sicurezza è diretto e coordi- 
nato dal ‘Funzionario alla sicurezza” o “Ufficiale alla 
sicurezza”. 


9. Gli incarichi di cui al comma 6 sono assegnati 
dall’ Autorità di cui al comma 1, su proposta del “Funzio- 
nario alla sicurezza” o “Ufficiale alla sicurezza”. Nel caso 
in cui esigenze organiche o funzionali lo richiedano, la 
predetta autorità può attribuire gli incarichi di cui sopra, o 
alcuni di essi, alla stessa persona ovvero al “Funzionario 
di controllo” o “Ufficiale di controllo”. 


10. Il “Funzionario alla sicurezza” o “Ufficiale alla si- 
curezza”, per assicurare la continuità dell’esercizio delle 
funzioni nell’ambito dell'Organo centrale di sicurezza, 
nomina due sostituti del Capo della Segreteria principale, 
nonché un sostituto dei Funzionari o Ufficiali e del Custo- 
de del materiale Cifra di cui al comma 6. 


11. Gli Organi centrali di sicurezza hanno il compito 
di: 


a) coordinare e controllare, presso tutte le articola- 
zioni e le altre strutture di sicurezza funzionalmente di- 
pendenti, sia a livello centrale che periferico, l’applica- 
zione di tutte le disposizioni inerenti alla protezione e alla 
tutela delle informazioni classificate, a diffusione esclusi- 
va o coperte da segreto di Stato; 


b) emanare direttive interne per l’applicazione delle 
disposizioni in materia di sicurezza e tutela delle infor- 
mazioni classificate, a diffusione esclusiva o coperte da 
segreto di Stato; 


c) comunicare all’UCSe i nominativi del “Funzio- 
nario di controllo” o “Ufficiale di controllo”, e dei suoi 
sostituti, dei Funzionari o Ufficiali e del Custode del ma- 
teriale Cifra di cui al comma 6, e dei loro sostituti, nonché 
i nominativi dei Funzionari o Ufficiali di controllo desi- 
gnati, presso gli Organi periferici; 
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d) inoltrare all’UCSe le proposte finalizzate al mi- 
glioramento della sicurezza delle informazioni classifi- 
cate, a diffusione esclusiva o coperte da segreto di Stato 
nell’ambito della propria amministrazione o ente, sia a 
livello centrale che periferico; 


e) tenere aggiornato l’elenco dei NOS ed il relativo 
scadenzario; 


)) proporre all’Organo nazionale di sicurezza, per il 
tramite dell’UCSe, l’istituzione, il cambio di denomina- 
zione e l’estinzione della Segreteria Principale di Sicurez- 
za, degli Organi periferici, delle Segreterie di sicurezza e 
dei Punti di controllo di cui all’art. 11, comma 6; 


g) istituire, nell’ambito della propria amministrazio- 
ne, centrale e periferica, le Segreterie di sicurezza e i Pun- 
ti di controllo la cui istituzione non sia riservata all’Orga- 
no nazionale di sicurezza; 


h) comunicare all’UCSe l’avvenuta istituzione, mo- 
difica o estinzione delle Segreterie di sicurezza e dei Pun- 
ti di controllo di cui alla lettera g); 


i) curare gli adempimenti in materia di violazione 
della sicurezza e di compromissione di informazioni clas- 
sificate o coperte da segreto di Stato. 


12. Gli Organi centrali di sicurezza delle Forze armate 
hanno, inoltre, il compito di effettuare, secondo le modali- 
tà e i termini indicati dalle vigenti disposizioni, le verifiche 
per l’accertamento della sussistenza e del mantenimento 
dei requisiti di sicurezza fisica per il possesso delle abilita- 
zioni di sicurezza da parte degli operatori economici. 


13. Gli Organi centrali di sicurezza delle amministra- 
zioni e enti interessati, quando richiesto dalle normative 
di riferimento internazionali o dell’Unione europea, co- 
municano all’UCSe i nominativi degli operatori econo- 
mici che hanno chiesto di partecipare a gare classificate 
internazionali o dell’Unione europea. 


14. Ai fini degli adempimenti connessi al rilascio del- 
le abilitazioni di sicurezza, le stazioni appaltanti, quando 
indicono una gara o una procedura di affidamento che 
comporti l’accesso ad informazioni con classifica RI- 
SERVATISSIMO o superiore, per il tramite dei rispettivi 
organi centrali di sicurezza ne danno tempestiva notizia 
all’UCSe, comunicando altresì, al termine della fase di 
aggiudicazione, i nominativi degli operatori economici 
risultati aggiudicatari, anche in regime di subappalto. 


Art. 9. 


Segreterie principali di sicurezza 


1. Presso i Ministeri, le strutture governative, lo Stato Mag- 
giore della Difesa, le Forze armate, Segretariato Generale del- 
la Difesa - Direzione Nazionale degli Armamenti, il Comando 
Generale dell’ Arma dei Carabinieri, il Comando Generale della 
Guardia di Finanza o ente è istituita, su autorizzazione dell’Or- 
gano nazionale di sicurezza, nell’ambito dell’Organo centrale di 
sicurezza, una Segreteria principale di sicurezza, rispondente ai 
requisiti fissati ai sensi dell’art. 6, comma 1, lett. d), responsabile 
della trattazione delle informazioni classificate. Presso lo Stato 
Maggiore della Difesa, le Forze armate, il Segretariato Generale 
della Difesa - Direzione Nazionale degli Armamenti e il Coman- 
do Generale dell’ Arma dei Carabinieri, la Segreteria principale 
di sicurezza costituisce un’articolazione dell’Ufficio Sicurezza. 


5-12-2015 


2. La Segreteria principale di sicurezza, in relazione 
al livello di segretezza e all’ente originatore della docu- 
mentazione che è legittimata a trattare e gestire, assume 
la denominazione di: 


a) “Segreteria speciale principale COSMIC-ATO- 
MAL-UE/SS”, legittimata a trattare e gestire documenti 
della NATO, qualificati COSMIC, ATOMAL, dell’UE, 
nazionali e documenti originati nell’ambito di altre or- 
ganizzazioni internazionali di cui l’Italia è parte o rela- 
tivi alla partecipazione dell’Italia in attività internazio- 
nali di cooperazione militare, fino al livello di classifica 
SEGRETISSIMO; 


b) “Segreteria speciale principale COSMIC-UE/ 
SS”, legittimata a trattare e gestire documenti della 
NATO, con l’esclusione di quelli qualificati ATOMAL, 
dell’UE, nazionali, e documenti originati nell’ambito di 
altre organizzazioni internazionali di cui l’Italia è parte o 
relativi alla partecipazione dell’Italia in attività interna- 
zionali di cooperazione militare, fino al livello di classifi- 
ca SEGRETISSIMO; 


c) “Segreteria principale di sicurezza NATO-UE/S”, 
legittimata a trattare e gestire documenti della NATO, 
con l’esclusione di quelli qualificati COSMIC e ATO- 
MAL, dell’UE e documenti originati nell’ambito di al- 
tre organizzazioni internazionali di cui l’Italia è parte o 
relativi alla partecipazione dell’Italia in attività interna- 
zionali di cooperazione militare, fino al livello di clas- 
sifica SEGRETO, e nazionali fino al livello di classifica 
SEGRETISSIMO; 


d) “Segreteria principale di sicurezza UE/S”, legitti- 
mata a trattare e gestire documenti dell’UE e documenti 
originati nell’ambito di altre organizzazioni internazionali 
di cui l’Italia è parte o relativi alla partecipazione dell’Ita- 
lia in attività internazionali di cooperazione militare, fino 
al livello di SEGRETO, nonché documenti nazionali fino 
al livello di classifica SEGRETISSIMO; 


e) “Segreteria principale di sicurezza”, legittimata 
a trattare e gestire soltanto documenti nazionali fino al 
livello di classifica di SEGRETISSIMO. 


3. Tutte le Segreterie principali di sicurezza sono altresì 
legittimate a trattare informazioni, classificate e non, sulle 
quali sia stato apposto o confermato il segreto di Stato. 


4. L’UCSe, per limitati periodi di tempo ed a fronte 
di indifferibili esigenze operative, può in via eccezionale 
autorizzare, anche in assenza dei requisiti fissati ai sensi 
dell’art. 6, comma 1, lett. 5), l’istituzione di Segreterie 
principali di sicurezza legittimate a trattare informazioni 
classificate nazionali ad un livello massimo di SEGRE- 
TO. In tali ipotesi, particolari prescrizioni di sicurezza 
saranno stabilite caso per caso, ferma restando l’inappli- 
cabilità del comma 3. 


5. Le Segreterie principali di sicurezza sono dirette 
dal Funzionario di controllo o Ufficiale di controllo di 
cui all’art. 8, comma 4, che assume la denominazione di 
“Capo della Segreteria principale di sicurezza”, coadiu- 
vato da personale esperto nella trattazione e gestione dei 
documenti classificati, individuato dal Funzionario o Uf- 
ficiale alla sicurezza. 
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6. Le Segreterie principali di sicurezza hanno il com- 
pito di: 


a) coadiuvare il Funzionario o Ufficiale alla sicu- 
rezza nella sua azione di direzione, coordinamento, con- 
trollo, ispettiva, di inchiesta, e di quanto altro concerne 
la trattazione delle informazioni classificate, a diffusio- 
ne esclusiva o coperte dal segreto di Stato nell’ambito 
dell’intera organizzazione di sicurezza sia a livello cen- 
trale che periferico; 


b) promuovere, nell’ambito della propria organiz- 
zazione, la conoscenza delle norme legislative e delle 
disposizioni amministrative concernenti la tutela delle 
informazioni classificate, a diffusione esclusiva o coperte 
da segreto di Stato; 


c) istruire, con periodicità semestrale, il personale 
abilitato in ordine alle responsabilità connesse alla co- 
noscenza e trattazione delle informazioni classificate, a 
diffusione esclusiva o coperte da segreto di Stato; 


d) tenere aggiornata la “lista di accesso”, con la 
quale il Funzionario o Ufficiale alla sicurezza, sulla base 
del principio della necessità di conoscere di cui all’art. 3, 
comma 2, determina i soggetti autorizzati a trattare infor- 
mazioni nazionali, internazionali e dell’Unione europea 
classificate SEGRETISSIMO e SEGRETO nonché quelle 
qualificate ATOMAL; 


e) tenere aggiornato l’inventario dei documenti co- 
perti da segreto di Stato in carico alle altre strutture di 
sicurezza dipendenti e trasmetterne all’UCSe il registro 
per la parifica annuale; 


/) tenere aggiornati i registri di contabilizzazione dei 
documenti classificati; 


g) tenere aggiornato l’elenco dei NOS, con il relati- 
vo scadenzario; 


h) segnalare all’UCSe i nominativi delle persone de- 
signate dal Funzionario o Ufficiale alla sicurezza ad at- 
tribuire alle informazioni, ai documenti e ai materiali la 
classifica SEGRETISSIMO; 


i) ricevere, registrare, custodire e, ove previsto, inol- 
trare alle Segreterie di sicurezza e ai Punti di controllo 
funzionalmente dipendenti, i documenti classificati a loro 
pervenuti per la relativa trattazione; 


1) comunicare all’UCSe gli estremi dei documenti 
SEGRETISSIMO nazionali, COSMIC-SEGRETISSI- 
MO, ATOMAL e UE-SEGRETISSIMO ricevuti non per 
il suo tramite; 


m) comunicare all’UCSe i nominativi dei Funzionari 
o Ufficiali di cui all’art. 11, comma 9, e dei loro sostituti, 
preposti alle Segreterie di sicurezza ed ai Punti di con- 
trollo istituiti nell’ambito dell’amministrazione o ente di 
appartenenza; 


n) segnalare con tempestività all’UCSe o all’Organo 
centrale di sicurezza interessato o all’organismo interna- 
zionale o dell’Unione europea competente, il livello del 
NOS del personale dell’amministrazione o ente di appar- 
tenenza designato a partecipare a conferenze o riunioni 
classificate in Italia o all’estero; 
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o) effettuare annualmente l’inventario e il controllo 
dei documenti nazionali classificati SEGRETISSIMO e 
di quelli COSMIC-SEGRETISSIMO, UE-SEGRETISSI- 
MO e ATOMAL in carico anche alle strutture di sicurezza 
funzionalmente dipendenti e trasmettere all’UCSe i ver- 
bali di distruzione relativi a tali documenti, unitamente al 
registro d’inventario per la parifica; 


p) curare gli adempimenti di competenza previsti da 
direttive dell’Organo nazionale di sicurezza in materia di 
violazione della sicurezza e di compromissione di infor- 
mazioni classificate o coperte da segreto di Stato; 

q) comunicare all’UCSe e all’originatore delle infor- 
mazioni classificate, con immediatezza e con un rapporto 
dettagliato, tutti i casi di violazione della sicurezza e di 
compromissione delle predette informazioni verificatisi 
nell’ambito della propria sfera di competenza. 


Art. 10. 
Organi periferici di sicurezza 


1. Presso le articolazioni dei Ministeri, delle strutture gover- 
native, dello Stato Maggiore della Difesa, delle Forze armate, 
del Segretariato Generale della Difesa/Direzione Nazionale 
degli Armamenti, del Comando Generale dell’ Arma dei Ca- 
rabinieri, del Comando Generale della Guardia di Finanza o 
degli enti pubblici legittimati alla trattazione di informazioni 
classificate, a diffusione esclusiva o coperte da segreto di Sta- 
to possono essere istituiti, sia in sede centrale che decentrata, 
su autorizzazione dell’Organo nazionale di sicurezza, Organi 
periferici di sicurezza laddove, anche in ragione della colloca- 
zione fisica, lo richiedano comprovate ragioni di sicurezza e di 
correntezza della trattazione e gestione della documentazione 
classificata. Fatto salvo quanto previsto dall’art. 8, comma 1, 
presso le articolazioni ove è costituito un Organo periferico 
la responsabilità relativa alla sicurezza delle informazioni fa 
capo alla massima autorità preposta all’articolazione stessa. 


2. All’Organo periferico di sicurezza è preposto un 
“Funzionario o Ufficiale alla sicurezza designato”. 

3. In caso di costituzione di un Organo periferico di si- 
curezza il Funzionario o Ufficiale alla sicurezza dell’Orga- 
no centrale di sicurezza, sulla base delle esigenze connesse 
alla trattazione di informazioni classificate, a diffusione 
esclusiva o coperte da segreto di Stato, può, in alternativa: 

a) rimettere al titolare dell’articolazione amministra- 
tiva decentrata (Capo dipartimento, Direttore generale, 
Ispettore generale, Capo di Rappresentanza Diplomatica, 
Prefetto, Questore, Comandante militare) o dell’ente la no- 
mina del “Funzionario o Ufficiale alla sicurezza designa- 
to” e di un suo sostituto. Spetta in tal caso al predetto tito- 
lare il compito di nominare, su proposta del “Funzionario 
o Ufficiale alla sicurezza designato”, gli altri responsabili 
della sicurezza di cui alla lettera 5), e relativi sostituti; 


b) nominare il “Funzionario o Ufficiale alla sicurezza de- 
signato”, ed un suo sostituto e, su proposta del predetto “Fun- 
zionario 0 Ufficiale alla sicurezza designato”, il “Capo della 
Segreteria di sicurezza” che assume la denominazione di Fun- 
zionario o Ufficiale di controllo designato e due suoi sostituti 
e, quando necessario, il ‘Funzionario o Ufficiale COMSEC 
designato”, il “Funzionario o Ufficiale CIS designato”, il “Fun- 
zionario o Ufficiale alla sicurezza fisica designato”, il “Custode 
del materiale CIFRA”, e un sostituto di ciascuno di essi; 
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c) nominare il “Funzionario o Ufficiale alla sicurez- 
za designato” ed un suo sostituto, e disporre che il “Fun- 
zionario o Ufficiale alla sicurezza designato” nomini tutti 
gli altri responsabili della sicurezza di cui alla lettera b), 
e relativi sostituti. 


4. Per l’effettivo esercizio delle funzioni il “Funziona- 
rio o Ufficiale alla sicurezza designato” si avvale del capo 
della Segreteria di sicurezza istituita presso l'Organo pe- 
riferico, denominato “Funzionario/Ufficiale di controllo 
designato”, coadiuvato da personale esperto nella tratta- 
zione e gestione dei documenti classificati. 


5. L’Organo periferico di sicurezza è il complesso costi- 
tuito dal “Funzionario alla sicurezza designato” o “Ufficiale 
alla sicurezza designato”, dal “Funzionario COMSEC desi- 
gnato” o “Ufficiale COMSEC designato”, dal “Funzionario 
CIS designato” o “Ufficiale CIS designato”, dal ‘“Funziona- 
rio alla sicurezza fisica designato” o “Ufficiale alla sicurezza 
fisica designato”, dal “Capo della Segreteria di sicurezza”, 
dal “Centro CIFRA”, dal “Custode del materiale CIFRA” e 
dalla stessa Segreteria di sicurezza. 


6. Il “Funzionario o Ufficiale alla sicurezza designato” 
munito di adeguata abilitazione di sicurezza, dirige, coordi- 
na e controlla tutte le attività che riguardano la protezione e 
la tutela delle informazioni classificate o coperte da segreto 
di Stato. 

7. Gli incarichi di “Funzionario o Ufficiale alla sicu- 
rezza designato” e gli altri incarichi previsti al comma 5 
non possono essere assolti dalla stessa persona, salvo casi 
eccezionali connessi ad esigenze organiche o funzionali. 


8. Dall’Organo periferico di sicurezza, ove istituito, 
possono dipendere le Segreterie di sicurezza e i Punti di 
controllo costituiti ai sensi dell’art. 11 presso più sedi de- 
centrate della stessa amministrazione o ente sul territorio 
nazionale o in un’area territoriale omogenea. 


9. L’Organo periferico di sicurezza provvede a segna- 
lare al Funzionario o Ufficiale alla sicurezza i nominativi 
delle persone, adeguatamente abilitate, che, nell’ambito 
dell'Organo periferico stesso e delle Segreterie di sicurez- 
za e dei Punti di controllo dipendenti, sono autorizzate dal 
Funzionario o Ufficiale alla sicurezza designato ad attribu- 
ire alle informazioni, ai documenti e ai materiali la classi- 
fica di segretezza SEGRETISSIMO, con o senza qualifica 
di sicurezza, ai sensi dell’art. 4 del decreto del Presidente 
del Consiglio dei ministri 12 giugno 2009, n. 7. 


Art. ll. 


Segreterie di sicurezza e Punti di Controllo 


1. Presso ogni articolazione di Ministero, di struttura 
governativa, dello Stato Maggiore della Difesa, di Forza 
armata, del Segretariato Generale della Difesa - Direzio- 
ne Nazionale degli Armamenti, del Comando Generale 
dell’ Arma dei Carabinieri, del Comando Generale della 
Guardia di Finanza o ente, dotata di Organo centrale di 
sicurezza, possono essere istituiti, nella misura stretta- 
mente necessaria, Segreterie di sicurezza e Punti di con- 
trollo, rispondenti ai requisiti fissati ai sensi dell’art. 6, 
comma |, lett. 5). Alle Segreterie di sicurezza e ai Punti di 
controllo è affidato l’esercizio delle competenze relative 
alla trattazione e alla gestione di documentazione classi- 
ficata o a diffusione esclusiva fissate con direttive appli- 
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cative dell'Organo nazionale di sicurezza, secondo criteri 
che tengano conto delle esigenze di sicurezza e corren- 
tezza della trattazione, anche in ragione della ubicazione 
logistica delle strutture, nonché della quantità della docu- 
mentazione da trattare. 


2. Le Segreterie di sicurezza e i Punti di controllo pos- 
sono essere posti alle dipendenze di un Organo centrale, 
ovvero di Organi periferici, ove istituiti. 


3. Le Segreterie di sicurezza, in relazione al livello di 
segretezza e all’ente originatore della documentazione 
che sono legittimate a trattare e gestire, assumono la de- 
nominazione di: 


a) “Segreteria speciale COSMIC-ATOMAL-UE/ 
SS”, legittimata a trattare e gestire documenti nazionali, 
della NATO, qualificati COSMIC e ATOMAL, dell’UE 
e documenti originati nell’ambito di altre organizzazioni 
internazionali di cui l’Italia è parte o relativi alla parteci- 
pazione dell’Italia in attività internazionali di cooperazio- 
ne militare fino al livello di classifica SEGRETISSIMO; 


b) “Segreteria speciale COSMIC-UE/SS”, legittima- 
ta a trattare e gestire documenti della NATO, con l’esclu- 
sione di quelli qualificati ATOMAL, dell’UE e documenti 
originati nell’ambito di altre organizzazioni internazio- 
nali di cui l’Italia è parte o relativi alla partecipazione 
dell’Italia in attività internazionali di cooperazione mili- 
tare, nonché documenti nazionali fino al livello di classi- 
fica SEGRETISSIMO; 


c) “Segreteria di sicurezza NATO-UE/S”, legittima- 
ta a trattare e gestire, documenti della NATO, con l’esclu- 
sione di quelli qualificati COSMIC e ATOMAL, dell’UE 
e documenti originati nell’ambito di altre organizzazioni 
internazionali di cui l’Italia è parte o relativi alla parte- 
cipazione dell’Italia in attività internazionali di coopera- 
zione militare, fino al livello di segretezza SEGRETO, 
nonché documenti nazionali fino al livello di classifica 
SEGRETISSIMO; 


d) “Segreteria di sicurezza UE/S”, legittimata a trat- 
tare e gestire documenti nazionali fino al livello di classi- 
fica SEGRETISSIMO, nonché dell’UE e documenti ori- 
ginati nell’ambito di altre organizzazioni internazionali di 
cui l’Italia è parte, relativi alla partecipazione dell’Italia 
in attività internazionali di cooperazione militare fino al 
livello di classifica SEGRETO; 


e) “Segreteria di sicurezza”, legittimata a ge- 
stire documenti nazionali fino al livello di classifica 
SEGRETISSIMO. 


4. I Punti di controllo, in relazione al livello di segre- 
tezza e all’ente originatore della documentazione che 
sono legittimati a trattare e gestire assumono la denomi- 
nazione di: 


a) “Punto di controllo COSMIC-ATOMAL-UE/ 
SS”, collocato in posizione di dipendenza funzionale ri- 
spetto ad una Segreteria speciale “COSMIC-ATOMAL- 
UE/SS”, principale o non, legittimato a trattare e gestire 
documenti nazionali, della NATO, qualificati COSMIC 
e ATOMAL, dell’UE e documenti originati nell’ambi- 
to di altre organizzazioni internazionali di cui l’Italia è 
parte o relativi alla partecipazione dell’Italia in attività 
internazionali di cooperazione, fino al livello di classifica 
SEGRETISSIMO; 
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b) “Punto di controllo COSMIC-UE/SS”, collocato 
in posizione di dipendenza funzionale rispetto ad una Se- 
greteria speciale “COSMIC-ATOMAL-UE/SS” o “CO- 
SMIC-UE/SS”, principale o non, legittimato a trattare e 
gestire documenti nazionali, della NATO, con l’esclusione 
di quelli qualificati ATOMAL, dell’UE e documenti ori- 
ginati nell’ambito di altre organizzazioni internazionali di 
cui l’Italia è parte o relativi alla partecipazione dell’Italia 
in attività internazionali, fino al livello SEGRETISSIMO; 


c) “Punto di controllo NATO-UE/S”, collocato in po- 
sizione di dipendenza funzionale rispetto ad una Segreteria 
speciale “COSMIC-ATOMAL-UE/SS” o “COSMIC-UE/ 
SS”, principale o non, oppure ad una Segreteria “NATO- 
UE/S”, principale o non, legittimato a trattare e gestire 
documenti della NATO, con l’esclusione di quelli qualifi- 
cati COSMIC e ATOMAL, dell’UE e documenti originati 
nell’ambito di altre organizzazioni internazionali di cui l’Ita- 
lia è parte o relativi alla partecipazione dell’Italia in attività 
internazionali, fino al livello di classifica SEGRETO, non- 
ché documenti nazionali fino al livello SEGRETISSIMO. 


5. Le Segreterie di sicurezza e i Punti di controllo sono 
altresì legittimati a trattare informazioni a diffusione 
esclusiva nonché informazioni, classificate e non, sulle 
quali sia stato apposto o confermato il segreto di Stato. 


6. L'istituzione, la soppressione e il cambio di denomi- 
nazione delle Segreterie di sicurezza di cui al comma 3, 
lettere a) e 5), e dei Punti di controllo di cui al comma 4, 
lettere a) e 6), è autorizzata dall’Organo nazionale di si- 
curezza, su richiesta dell’Organo centrale di sicurezza 
inoltrata per il tramite dell’UCSe. 


7. L'istituzione, la soppressione e il cambio di denomi- 
nazione delle Segreterie di sicurezza di cui al comma 3, 
lettere c), d), e), e dei Punti di controllo di cui al com- 
ma 4, lettera c) è disposta dall’Organo centrale di sicurez- 
za competente, che ne dà comunicazione all’UCSe. 


8. L’UCSe, per limitati periodi di tempo ed a fronte 
di indifferibili esigenze operative, può in via eccezionale 
autorizzare, anche in assenza dei requisiti fissati ai sensi 
dell’art. 6, comma 1, lett. d), l’istituzione di Segreterie di 
sicurezza e Punti di controllo per la trattazione e gestione 
di informazioni classificate nazionali ad un livello mas- 
simo di RISERVATISSIMO. In tali ipotesi, particolari 
prescrizioni di sicurezza saranno stabilite caso per caso, 
ferma restando l’inapplicabilità del comma 5. 


9. Le Segreterie di sicurezza e i Punti di controllo sono 
diretti da un Funzionario o Ufficiale, che assume la de- 
nominazione di “Capo della Segreteria di sicurezza” o di 
“Capo del Punto di controllo”, coadiuvato da personale 
esperto nella trattazione e gestione dei documenti classifi- 
cati. Ove la Segreteria di sicurezza sia costituita presso un 
Organo periferico, il “Capo della Segreteria di sicurezza” 
assume la denominazione di “Funzionario o Ufficiale di 
controllo designato”. 


10. Le Segreterie di sicurezza e i Punti di controllo 
hanno il compito di: 


a) promuovere la conoscenza delle norme legislative 
e delle disposizioni amministrative concernenti la tutela 
delle informazioni classificate, a diffusione esclusiva o 
coperte da segreto di Stato; 
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b) istruire, con periodicità almeno semestrale, il per- 
sonale titolare di NOS sulle responsabilità connesse alla 
conoscenza e trattazione delle informazioni classificate, a 
diffusione esclusiva o coperte da segreto di Stato; 

c) tenere aggiornata la “lista di accesso” di cui 
all’art. 9, comma 6, lett. d); 

d) controllare e gestire i documenti classificati origi- 
nati nell’ambito della propria sfera di competenza; 


e) controllare e gestire i documenti classificati ricevuti; 


)) tenere aggiornati i registri di contabilizzazione dei 
documenti classificati di cui si è responsabili; 


g) effettuare annualmente l’inventario e il controllo 
dei documenti nazionali classificati SEGRETISSIMO e 
di quelli COSMIC-SEGRETISSIMO, UE-SEGRETISSI- 
MO e ATOMAL in carico, e trasmettere all’UCSe, e per 
conoscenza alla propria Segreteria principale di sicurez- 
za, i verbali di distruzione relativi a tali documenti; 

h) tenere aggiornato l’elenco del personale della pro- 
pria articolazione per il quale è stato rilasciato il NOS; 

i) attuare le disposizioni di competenza relative alle 
richieste per il rilascio e il rinnovo dei NOS per il perso- 
nale della propria articolazione; 

1) comunicare all’Organo di sicurezza da cui dipende 
i nominativi delle persone abilitate che non hanno più ne- 
cessità di accedere alle informazioni classificate; 

m) segnalare all’Organo di sicurezza da cui dipende ogni con- 
troindicazione sopravvenuta a carico del personale abilitato ritenuta 
d’interesse ai fini della valutazione dell’affidabilità della persona; 

n) segnalare all’Organo di sicurezza da cui dipende i 
nominativi delle persone della propria articolazione desi- 
gnate ad attribuire la classifica di SEGRETISSIMO; 

o) segnalare con tempestività all’Organo di sicurez- 
za da cui dipende il livello del NOS del personale della 
propria articolazione designato a partecipare a conferenze 
o riunioni classificate in Italia o all’estero; 

p) curare gli adempimenti di competenza in materia 
di violazione della sicurezza e di compromissione di in- 
formazioni classificate. 


Art. 12. 


Organizzazione di sicurezza 
nell’ambito degli operatori economici 


1. L’operatore economico abilitato alla trattazione delle 
informazioni classificate, istituisce una propria organiz- 
zazione di sicurezza, anche secondo le previsioni di cui 
all’art. 17, adeguata alle categorie di informazioni clas- 
sificate che ha necessità di trattare, nonché alle proprie 
dimensioni o caratteristiche infrastrutturali o gestionali. 


Art. 13. 


Responsabilità della protezione e della tutela delle informazioni 
classificate e a diffusione esclusiva nell’ambito degli 
operatori economici 


1. Presso ogni operatore economico abilitato alla loro trattazio- 
ne, la responsabilità della protezione e della tutela delle informazio- 
ni classificate e a diffusione esclusiva, a livello centrale e periferico, 
fa capo al legale rappresentante in possesso di cittadinanza italiana. 
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2. Il legale rappresentante dell’operatore economico 
può delegare l’esercizio dei compiti e delle funzioni per 
la protezione e tutela delle informazioni classificate ad un 
dirigente o funzionario legato da un rapporto professio- 
nale esclusivo, fatte salve specifiche esigenze organizza- 
tive e funzionali, in possesso di sola cittadinanza italiana, 
di abilitazione di livello adeguato ai fini della sicurezza 
ed esperto nel settore, che assume la denominazione di 
“Funzionario alla sicurezza”. 


3. Presso le sedi periferiche dell’operatore economico 
abilitate per la trattazione di informazioni classificate il 
legale rappresentante di cui al comma 1 nomina un diri- 
gente o funzionario dipendente in via esclusiva dall’ope- 
ratore economico, quale “Funzionario alla sicurezza 
designato”, in possesso di sola cittadinanza italiana e di 
abilitazione di livello adeguato ai fini della sicurezza. Il 
“Funzionario alla sicurezza designato” è alle dipendenze 
del “Funzionario alla sicurezza”. 


4. Il legale rappresentante dell’operatore economico 
nomina, a livello centrale e presso ciascuna sede perife- 
rica abilitata alla trattazione di informazioni classificate, 
un sostituto “Funzionario alla sicurezza” e un sostituto 
“Funzionario alla sicurezza designato” in possesso dei re- 
quisiti indicati ai commi 2 e 3. Essi sostituiscono 1 titolari 
dell’incarico nei casi di assenza o impedimento. 


5. La nomina del “Funzionario alla sicurezza”, del 
“Funzionario alla sicurezza designato” e di un sostituto di 
ciascuno di essi è soggetta alla preventiva approvazione 
dell’UCSe. 


Art. 14. 


Compiti del legale rappresentante o del Funzionario alla 
sicurezza della sede principale od unica dell’operatore 
economico 


1. Il legale rappresentante, o, se delegato, il Funziona- 
rio alla sicurezza della sede principale o unica dell’ope- 
ratore economico: 


a) ha l’obbligo di conoscere le disposizioni in ma- 
teria di protezione e tutela delle informazioni classifica- 
te o coperte da segreto di Stato, e di farle puntualmente 
applicare; 

b) segnala tempestivamente all’UCSe e all’ente ap- 
paltante o al committente ogni elemento suscettibile di 
valutazione ai fini di cui all’art. 37, 47 e 48, nonché even- 
tuali casi di sospetta o accertata compromissione delle 
informazioni classificate; 


c) dirige, coordina e controlla tutte le attività che ri- 
guardano la protezione e la tutela delle informazioni, dei 
documenti e dei materiali classificati o coperti da segreto 
di Stato, trattati nell’ambito dell’operatore economico, 
sia a livello centrale che periferico; 


d) assicura il controllo delle lavorazioni classifica- 
te o coperte da segreto di Stato e la salvaguardia delle 
stesse dall’accesso di personale non in possesso di abili- 
tazione di sicurezza di livello adeguato e, comunque, non 
autorizzato; 

e) comunica semestralmente all’UCSe le lavorazio- 
ni classificate in corso di esecuzione secondo le modalità 
previste dalle direttive di attuazione; 
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7 comunica all’UCSe i contratti classificati di cui 
l’impresa è affidataria; 


g) coordina i servizi di sorveglianza e controllo delle 
infrastrutture COMSEC e dei CIS; 


h) cura gli adempimenti relativi al rilascio dei NOS 
al personale dell’operatore economico che ha necessità di 
trattare informazioni classificate a livello RISERVATIS- 
SIMO o superiore; 


i) comunica all’UCSe ogni variazione riguardante 
la legale rappresentanza, i componenti del Consiglio di 
amministrazione, il direttore tecnico, l'Organizzazione di 
sicurezza e le relative preposizioni, il possesso di quote di 
partecipazione qualificate in rapporto al capitale sociale; 


1) istruisce il personale abilitato alla trattazione di 
informazioni classificate sulle disposizioni che regolano 
la materia; 


m) comunica all’UCSe ogni evento che possa costi- 
tuire minaccia alla sicurezza e alla tutela delle informa- 
zioni classificate; 


n) assicura la corretta osservanza delle procedure 
relative alle visite da parte di persone estranee all’ope- 
ratore economico nei siti dove sono trattate informazioni 
classificate; 


o) chiede l’autorizzazione prevista dalle norme vi- 
genti e cura i relativi aspetti di sicurezza inerenti le trat- 
tative contrattuali che prevedono la cessione di informa- 
zioni classificate. 


2. Per lo svolgimento dei compiti di cui al comma 1 la 
Scuola di formazione del Dipartimento delle informazio- 
ni per la sicurezza, d’intesa con l’Ufficio centrale per la 
segretezza, organizza appositi corsi in materia di prote- 
zione e tutela delle informazioni classificate, a diffusio- 
ne esclusiva, o coperte da segreto di Stato. A tali corsi 
possono essere ammessi anche altri dirigenti o dipendenti 
dell’operatore economico. 


Art. 15. 


Incarichi relativi a sicurezza fisica e COMSEC e per la 
sicurezza dei CIS presso gli operatori economici 


1. Per l’esercizio delle sue funzioni, il Legale Rappre- 
sentante, ovvero il “Funzionario alla sicurezza” ove dele- 
gato, si avvale di un “Funzionario alla sicurezza fisica”, 
come definito all’art. 70. 


2. Fermo restando quanto stabilito dall’art. 39, ove 
l’operatore economico abbia necessità di trattare informa- 
zioni classificate con sistemi CIS e COMSEC, il rappre- 
sentante legale nomina responsabili delle relative attività, 
denominati rispettivamente, “Funzionario alla sicurezza 
CIS” , “Funzionario COMSEC” , un “Custode del ma- 
teriale CIFRA” ed i relativi sostituti, in possesso della 
sola cittadinanza italiana. In ragione delle dimensioni 
dell’operatore economico, e tenuto conto delle specifiche 
necessità relative alla trattazione delle informazioni clas- 
sificate, gli incarichi di “Funzionario alla sicurezza CIS” 
e di “Funzionario COMSEC” possono essere assegnati 
alla stessa persona cui è conferito l’incarico di ‘“Funzio- 
nario alla sicurezza”. 
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Art. 16. 


Compiti del “Funzionario alla sicurezza designato” 
della sede periferica dell’operatore economico 


1. Il “Funzionario alla sicurezza designato” esegue, in 
materia di protezione e tutela delle informazioni classifi- 
cate, le disposizioni impartite dal legale rappresentante o 
dal “Funzionario alla sicurezza”, ove delegato, e, relati- 
vamente all’ambito di propria competenza, svolge i com- 
piti indicati nell’art. 14, salvo quelli di cui al comma 1 
alle lettere 6), g) e i), che rimangono riservati al “Funzio- 
nario alla sicurezza”. 


Art. 17. 


Strutture di sicurezza presso gli operatori economici 


1. Nell’ambito degli operatori economici in possesso di 
NOSIS e di NOSI possono essere istituite apposite strut- 
ture di sicurezza, in relazione al livello di segretezza e 
all’ente originatore della documentazione che sono abili- 
tate a trattare e gestire. 


2. Presso la sede centrale o unica può essere istituita 
una delle seguenti strutture, diretta dal Capo della segre- 
teria principale di sicurezza - Funzionario di controllo: 


a) «Segreteria principale di sicurezza NATO-UE/S»; 
b) «Segreteria principale di sicurezza UE/S»; 
c) «Segreteria principale di sicurezza». 


3. A livello periferico, può essere istituita una delle se- 
guenti strutture, diretta dal Capo della Segreteria di sicu- 
rezza designato - Funzionario di controllo designato: 


a) «Segreteria NATO-UE/S»; 
b) «Punto di controllo NATO-UE/S»; 
c) «Segreteria di sicurezza UE/S». 


Art. 18. 
Attività ispettiva 


1. Allo scopo di assicurare protezione e tutela alle in- 
formazioni classificate, a diffusione esclusiva o coper- 
te dal segreto di Stato, l’UCSe procede, in via diretta o 
delegata, ai sensi dell’art. 7, comma 1, lett. s), ad attivi- 
tà ispettiva intesa ad accertare l’esatta applicazione, da 
parte delle articolazioni dell’Organizzazione nazionale 
di sicurezza presso amministrazioni, enti ed operatori 
economici, delle disposizioni in materia di trattazione e 
gestione della documentazione classificata o a diffusione 
esclusiva, delle disposizioni in materia di rilascio e ge- 
stione delle di abilitazioni di sicurezza, di sicurezza fisica, 
COMSEC e dei CIS. 


2. L’UCSe procede altresì a specifica attività ispettiva 
in caso di violazione della sicurezza o compromissione 
di informazioni classificate o coperte da segreto di Stato, 
quando l’Organo nazionale di sicurezza, nell’esercizio 
delle funzioni di vigilanza di cui all’art. 6, comma 1, lett. 
g), lo ritenga necessario in relazione alla rilevanza del 
caso concreto. 
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Capo II 


CLASSIFICHE DI SEGRETEZZA E 
QUALIFICHE DI SICUREZZA 


Art. 19. 


Classifiche di segretezza 


1. Le classifiche di segretezza SEGRETISSIMO (SS), 
SEGRETO (S), RISERVATISSIMO (RR) e RISERVATO 
(R), di cui all’art. 42 della legge, assicurano la tutela pre- 
vista dall’ordinamento di informazioni la cui diffusione 
sia idonea a recare un pregiudizio agli interessi della Re- 
pubblica e sono attribuite per le finalità e secondo 1 criteri 
stabiliti dall’art. 4 del decreto del Presidente del Consi- 
glio dei ministri n. 7 del 12 giugno 2009. 


2.La declassifica di un’informazione è disposta dall’au- 
torità che ha apposto la classifica ai sensi dell’art. 42, 
comma 2, della legge, o da altro soggetto che, a richiesta, 
sia stato dalla stessa a ciò autorizzato. L’ Autorità nazio- 
nale per la sicurezza nella generalità dei casi e gli organi 
di sicurezza di un’amministrazione o ente sovraordinati a 
quello che ha originato l’informazione, possono disporre 
la variazione o l’eliminazione della classifica di segretez- 
za attribuita alla medesima da un’autorità sottordinata. 


3. L’originatore dell’informazione classificata assog- 
gettata a declassifica, variazione della classifica di se- 
gretezza o eliminazione della stessa informa tempestiva- 
mente del provvedimento gli altri soggetti detentori della 
medesima informazione, per le conseguenti variazioni 
amministrative. 


4. In relazione alle ipotesi di declassifica di cui 
all’art. 42, commi 5 e 6, della legge, e per assicurare 
speditezza alle relative procedure, previste al successivo 
comma 5, la data di classificazione di un’informazione 
deve essere annotata sull’informazione stessa, contestual- 
mente all’apposizione della classifica, mediante la dicitu- 
ra “classificato ... dal ...” opportunamente compilata. Se 
l’indicazione della classifica non è accompagnata dalla 
data di apposizione, la classifica si intende apposta dalla 
data del protocollo del documento. 


5. Ai fini dell’attuazione di quanto disposto dall’art. 42, 
commi 5 e 6, della legge, l’autorità che detiene l’infor- 
mazione, qualora riceva, anche oltre i termini di cui al 
predetto art. 42, comma 5, una richiesta di un soggetto 
pubblico o una istanza motivata di accesso da parte di 
un privato portatore di un interesse giuridicamente tutela- 
to, ne da comunicazione all’originatore, che, verificata la 
sussistenza dei presupposti, provvede in via alternativa a: 


a) prorogare i termini di efficacia del vincolo, ovve- 
ro richiedere la proroga oltre i quindici anni al Presidente 
del Consiglio dei Ministri, ai sensi dell’art. 42, comma 6, 
della legge; 


b) dichiarare l’avvenuta declassifica per decorso del 
termine, ponendo in essere i conseguenti adempimenti. 


6. L’ente originatore può disporre la proroga della 
classifica con provvedimento cumulativo, all’esito di 
una pianificazione dell’Organo centrale di sicurezza, per 
categorie di documenti per le quali ritenga persistente la 
necessità di riservatezza. 
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Art. 20. 


Classifiche di segretezza internazionali e 
dell’Unione europea 


1. Le classifiche di segretezza internazionali e 
dell’Unione europea sono previste da trattati, convenzio- 
ni, accordi, regolamenti e decisioni comunque denomi- 
nati, recepiti o a cui è data attuazione in conformità alle 
norme previste dall’ordinamento. 


Art. 21. 


Qualifiche di sicurezza 


1. Le informazioni classificate appartenenti ad orga- 
nizzazioni internazionali e all'Unione europea ed a pro- 
grammi intergovernativi recano le qualifiche previste dai 
rispettivi trattati, convenzioni, accordi, regolamenti e de- 
cisioni comunque denominati e sono assoggettate al regi- 
me giuridico di rispettiva appartenenza. 


Art. 22. 


Sicurezza delle lavorazioni classificate e 
deroghe al divieto di divulgazione 


1. Le lavorazioni classificate sono soggette al rispet- 
to delle procedure di sicurezza stabilite dal presente 
regolamento. 


2. Ai fini di cui al comma 1, l’Organo nazionale di sicu- 
rezza emana le disposizioni applicative relative alle visite, 
da parte di persone estranee, alle strutture dove vengono 
trattate informazioni classificate di carattere industriale, 
nonché relative ai trasporti di materiali classificati, sia in 
ambito nazionale che internazionale, anche connessi con 
l’esportazione, l’importazione e il transito di materiali 
classificati. 


3. L’UCSe verifica, mediante attività ispettiva, diretta 
o delegata ai sensi dell’art. 7, comma 1, lett. s), la corret- 
ta applicazione delle norme preordinate alla protezione e 
alla tutela delle informazioni classificate o a diffusione 
esclusiva nel settore industriale. 


4. L’UCSe autorizza la cessione di informazioni clas- 
sificate nei casi previsti dalla legge, da regolamenti, da 
Accordi internazionali e da programmi intergovernativi 
industriali assoggettabili a licenza globale di progetto. 


Capo IV 


NULLA OSTA DI SICUREZZA 
PER LE PERSONE FISICHE 


Art. 23. 
Classifiche di segretezza e funzione del NOS 


1. La trattazione di informazioni classificate RISER- 
VATO è consentita esclusivamente a coloro che hanno 
necessità di conoscerle per lo svolgimento del proprio 
incarico, funzione o attività e che siano a conoscenza 
delle misure poste a tutela delle stesse e delle connesse 
responsabilità. 
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2. La trattazione di informazioni classificate RISERVA- 
TISSIMO, SEGRETO o SEGRETISSIMO è consentita 
esclusivamente a coloro che hanno necessità di conoscerle 
per lo svolgimento del proprio incarico, funzione o attività, 
che siano a conoscenza delle misure poste a tutela delle 
stesse e delle connesse responsabilità e che siano in pos- 
sesso del NOS di adeguato livello di classifica e qualifica. 


3. Il NOS è richiesto, per una determinata persona fi- 
sica, dal soggetto pubblico o privato abilitato che inten- 
de impiegarla in attività che comportano la trattazione di 
informazioni protette con classifica superiore a RISER- 
VATO. Il NOS per le persone fisiche è altresì chiesto 
dall’amministrazione o ente nell’ambito della procedura 
per la costituzione di un’organizzazione di sicurezza e 
dall’operatore economico nell’ambito delle procedure di 
rilascio dell’abilitazione di sicurezza industriale. 


4. Ai fini del rilascio del NOS, i soggetti pubblici e pri- 
vati legittimati alla trattazione di informazioni classificate 
definiscono, sulla base dei rispettivi ordinamenti interni ed 
esigenze funzionali, gli incarichi che comportano l’effetti- 
va necessità di trattare informazioni protette dalla classifica 
di SEGRETISSIMO, SEGRETO o RISERVATISSIMO. 


5. Nell’esecuzione di contratti classificati RISERVATO 
che prevedano l’accesso stabile ad informazioni di tale 
classifica l’operatore economico tiene un elenco delle 
persone che autorizza a tale accesso. 


Art. 24. 


Autorità competente al rilascio del NOS 


1. L’UCSe rilascia e revoca i NOS per qualsiasi livello 
di classifica e qualifica. 


2. Ferme restando le prerogative di direttiva e di coor- 
dinamento, di consulenza e di controllo dell’UCSe, le fun- 
zioni di cui al comma 1 possono essere delegate ad artico- 
lazioni dell’Organizzazione nazionale per la sicurezza con 
provvedimento del dirigente dell’UCSe, sentito l’Organo 
nazionale di sicurezza, nei limiti e secondo le modalità di 
seguito indicate. In particolare, può essere delegato: 


a) il Capo della Segreteria principale di sicurezza del 
Ministero dell’Interno al rilascio, al diniego, alla revoca ed 
alla sospensione del NOS ovvero alla sospensione della pro- 
cedura abilitativa, nei confronti del personale dirigenziale 
con qualifica fino a Viceprefetto e a dirigente superiore della 
Polizia di Stato, di dirigente superiore del Corpo Nazionale 
dei Vigili del fuoco, di dirigente di seconda fascia dell’ Am- 
ministrazione civile dell’Interno, nonché del personale non 
dirigenziale dell’ Amministrazione civile dell’Interno, della 
Polizia di Stato e del Corpo Nazionale dei Vigili del fuoco; 


b) il Vice Capo del III Reparto-Area Sicurezza dello 
Stato Maggiore dell’Esercito, il Direttore dell’ Agenzia di 
Sicurezza della Marina Militare, il Capo del Reparto Ge- 
nerale Sicurezza dello Stato Maggiore dell’ Aeronautica 
ed il Capo del II Reparto del Comando Generale dell’ Ar- 
ma dei Carabinieri al rilascio, al diniego, alla revoca ed 
alla sospensione dei NOS, ovvero alla sospensione della 
procedura abilitativa, nei confronti di: 


1) personale militare della rispettiva Forza Arma- 
ta o Comando Generale dell’ Arma dei Carabinieri con 
grado fino a Generale di Brigata o corrispondente; 
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2) personale civile dipendente con qualifica di di- 
rigente di seconda fascia e con qualifica non dirigenziale; 


c) il Capo Ufficio Generale del Segretario Generale 
della Difesa al rilascio, al diniego, alla revoca ed alla so- 
spensione dei NOS, ovvero alla sospensione della proce- 
dura abilitativa, nei confronti del personale civile dipen- 
dente con qualifica di dirigente di seconda fascia e con 
qualifica non dirigenziale; 


d) il Capo del II Reparto del Comando generale del 
Corpo della Guardia di finanza al rilascio, al diniego, alla 
revoca ed alla sospensione dei NOS, ovvero alla sospen- 
sione della procedura abilitativa, nei confronti del perso- 
nale con grado fino a Generale di Brigata. 


3. Con i provvedimenti di cui al comma 2 può altresì 
essere delegata alle medesime autorità l’attribuzione al 
NOS di qualifiche di sicurezza internazionali. 


4. Le autorità delegate ai sensi del comma 2 dispongono 
la revoca o la sospensione del NOS, o gli altri provvedimen- 
ti limitativi, nei casi previsti dall’art. 37, previa acquisizione 
del parere vincolante dell’UCSe, che può a tal fine, ove lo 
ritenga necessario, chiedere un’integrazione della relativa 
istruttoria. Il parere dell’UCSe si intende favorevolmente 
espresso, ove non intervenga nel termine di sessanta giorni. 


5. Ai fini dell’aggiornamento dell’ Elenco nazionale dei 
soggetti muniti di NOS di cui all’art. 7, comma 2, lette- 
ra c), dei provvedimenti adottati, con l’indicazione della 
classifica di segretezza e delle qualifiche di sicurezza in- 
ternazionali accordate, nonché delle eventuali limitazioni 
e proroghe disposte, è data comunicazione all’UCSe. 


Art. 25. 


Procedimento per il rilascio del NOS 


1. Il NOS viene rilasciato a persone fisiche maggio- 
renni all’esito di un procedimento di accertamento diretto 
ad escludere dalla possibilità di conoscere informazioni, 
documenti, atti, attività o cose protette dalle classifiche 
indicate all’art. 23, comma 2, ogni soggetto che non dia 
sicuro affidamento di scrupolosa fedeltà alle istituzioni 
della Repubblica, alla Costituzione ed ai suoi valori, non- 
ché di rigoroso rispetto del segreto, ai sensi dell’art. 9, 
comma 4, della legge. 


2. Il procedimento di rilascio del NOS è condotto con 
modalità e criteri che consentano l’acquisizione ed il va- 
glio di elementi, pertinenti e non eccedenti lo scopo, ne- 
cessari ai fini della valutazione dell’affidabilità della per- 
sona in relazione a quanto previsto dall’art. 9, comma 4, 
della legge e dal presente regolamento. 


3. Il soggetto pubblico o privato legittimato a chiedere 
il rilascio del NOS per l’impiego di una persona in attivi- 
tà che comportano la trattazione di informazioni protette 
dalle classifiche di cui al comma 1 ha l’obbligo di infor- 
mare la persona interessata della necessità dell’accerta- 
mento, con esclusione del personale per il quale il rilascio 
del NOS costituisce condizione necessaria per l’espleta- 
mento del servizio istituzionale nel territorio nazionale ed 
all’estero. Il rifiuto dell’accertamento da parte dell’inte- 
ressato comporta la rinuncia al NOS e all’esercizio delle 
funzioni per le quali esso è richiesto, secondo quanto pre- 
visto dall’art. 9, comma 8, della legge. 
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Art. 26. 


Richiesta di rilascio 


1. Il procedimento di accertamento finalizzato al rila- 
scio del NOS per una persona fisica ha inizio con la rice- 
zione, da parte dell’autorità competente al rilascio, della 
richiesta formulata dal soggetto pubblico o privato inte- 
ressati. Tale richiesta contiene una puntuale indicazione 
dei motivi per i quali la persona ha necessità di trattare 
informazioni classificate, del livello di classifica di segre- 
tezza e di eventuali qualifiche di sicurezza da accordare. 


2. La richiesta di cui al comma 1 è corredata da co- 
pia di un documento di identità in corso di validità della 
persona da abilitare che non appartenga ad una Ammini- 
strazione pubblica, da un “foglio notizie”, conforme al 
modello approvato dall’UCSe, compilato e sottoscritto 
dall’interessato nonché da una dichiarazione con la quale 
lo stesso, ai sensi e per gli effetti dell’art. 9, comma 8, del- 
la legge, attesta di essere stato informato della necessità 
dell’accertamento e di aver espresso il consenso alla sua 
effettuazione. 


Art. 27. 


Istruttoria 


1. L’UCSe, per l’acquisizione dei necessari elementi di 
informazione, si avvale delle banche dati cui ha accesso 
ai sensi dell’art. 13, comma 2, della legge, nonché del- 
la collaborazione dell’ Arma dei Carabinieri che, in vir- 
tù della capillare presenza sul territorio, costituisce nella 
specifica attività il principale referente, della Polizia di 
Stato, del Corpo della Guardia di Finanza, nonché delle 
Forze Armate, delle pubbliche amministrazioni e dei sog- 
getti erogatori di servizi di pubblica utilità. 


2. Fatto salvo quanto previsto dall’art. 24, comma 2, lett. a), 
b), c) e d) per il rilascio dei NOS relativi al personale dell’am- 
ministrazione civile del Ministero dell’interno, della Polizia di 
Stato e del Corpo nazionale dei vigili del fuoco, con qualifica 
inferiore a Prefetto o dirigente generale, gli elementi informa- 
tivi necessari sono forniti all’UCSe dal Capo della Segreteria 
principale di sicurezza del Ministero dell’interno. Per il rila- 
scio dei NOS relativi al personale militare e civile delle Forze 
armate e del Comando Generale dell'Arma dei Carabinieri 
avente grado inferiore a Generale di Corpo d’armata o grado 
o qualifica corrispondente, gli elementi informativi necessari 
sono forniti all’UCSe, in relazione alla Forza armata di appar- 
tenenza, dall’Organo Centrale di Sicurezza. Per il rilascio dei 
NOS relativi al personale della Guardia di finanza, con grado 
inferiore a Generale di Corpo d’ Armata, gli elementi informa- 
tivi necessari sono forniti all’UCSe dal Capo della Segreteria 
principale di sicurezza del Comando generale della Guardia di 
Finanza. Per le esigenze abilitative dell’ AISE e dell’ AISI, gli 
elementi informativi necessari al primo rilascio del NOS sono 
forniti all’UCSe dall’ Agenzia interessata. 

3. Nei casi diversi da quelli indicati al comma 2, gli adempi- 
menti istruttori per il rilascio dei NOS sono curati dall’UCSe. 

4. Le autorità delegate al rilascio del NOS si avvalgono, 
per l’acquisizione delle informazioni, delle banche dati e 
delle strutture delle proprie amministrazioni, nonché del 
contributo delle Forze di polizia e delle Forze Armate, 
secondo quanto previsto al comma 5. Qualora, all’esito 
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di tale ricognizione, sia ritenuto opportuno acquisire ele- 
menti da altre amministrazioni o da soggetti erogatori di 
servizi di pubblica utilità, viene interessato 1’ UCSe per 
l’eventuale supplemento di istruttoria. 


5. Nel caso di delega ai sensi dell’art. 24, comma 2, il 
Capo della Segreteria Principale di sicurezza del Ministero 
dell’interno si avvale della Polizia di Stato nonché, a fini 
di integrazione, dei comandi dell’ Arma dei Carabinieri e 
della Guardia di Finanza e delle Forze Armate. L’Organo 
Centrale di Sicurezza di ciascuna Forza armata si avva- 
le dei comandi rispettivamente dipendenti e dei comandi 
dell’Arma dei Carabinieri. L’Organo Centrale di Sicu- 
rezza del Segretariato Generale della Difesa si avvale dei 
comandi delle Forze armate e dei comandi dell’ Arma dei 
Carabinieri. L’Organo Centrale di Sicurezza dell’ Arma dei 
Carabinieri si avvale dei comandi dipendenti nonché, a fini 
di integrazione, della Polizia di Stato, dei comandi della 
Guardia di Finanza e delle altre Forze armate. L’Organo 
Centrale di Sicurezza del Comando generale del Corpo 
della Guardia di Finanza si avvale dei comandi del Corpo 
nonché, a fini di integrazione, dei comandi dell’ Arma dei 
Carabinieri, della Polizia di Stato e delle Forze Armate. 


6. Le autorità che rilasciano i NOS acquisiscono il pa- 
rere dei direttori dei servizi di informazione per la sicu- 
rezza previsto dall’art. 9, comma 2, lettera c), della legge, 
formulato sulla base degli elementi in loro possesso, en- 
tro centocinquanta giorni dalla data della richiesta. Fatta 
eccezione per il rilascio dei NOS a livello SEGRETISSI- 
MO, l’inutile decorso del termine è valutato quale assen- 
za di elementi di controindicazione. 


7. Per i NOS di livello SEGRETISSIMO, qualora nel 
termine massimo complessivo di cui al comma 13, sia per- 
venuto almeno un parere favorevole di cui all’art. 9, com- 
ma 2, lettera c), della legge, si procede al rilascio del NOS. 


8. I pareri pervenuti oltre i termini di cui al comma 6 
sono comunque valutati ai fini del diniego, revoca, so- 
spensione, riduzione di classifica di segretezza e di quali- 
fica di sicurezza internazionale del NOS. L'acquisizione 
dei pareri da parte dell’UCSe può essere assicurata me- 
diante apposito collegamento telematico con le Agenzie. 


9. Ove necessario per la delicatezza dell’incarico da at- 
tribuire o per i riflessi su profili attinenti all’ordine e alla 
sicurezza pubblica o alla difesa militare, l'UCSe acquisi- 
sce 1 pareri dei Ministri della difesa e dell’interno di cui 
all’art. 9, comma 2, lettera c), della legge. 


10. Per il rilascio del NOS a cittadini stranieri, o a citta- 
dini con doppia cittadinanza, o a cittadini italiani che hanno 
soggiornato all’estero, per l'acquisizione delle informazio- 
ni è interessato il Ministero degli affari esteri oppure, qua- 
lora si tratti di Paesi NATO o UE o con i quali sussistano in 
materia accordi bilaterali, l’autorità nazionale di sicurezza 
del Paese. Tali informazioni sono acquisite in ogni caso per 
soggiorni superiori ad un anno nonché per periodi inferiori, 
allorquando ritenuto opportuno anche in relazione al Paese 
interessato. A tale adempimento provvede l’UCSe, anche 
per conto delle autorità delegate al rilascio del NOS ai sen- 
si dell’art. 24. In ogni caso l’UCSe può delegare l’orga- 
no centrale di sicurezza del Ministero degli Affari Esteri 
e della Cooperazione Internazionale all’acquisizione delle 
informazioni per il rilascio del NOS ai dipendenti di quel 
Dicastero, sulla base di apposite intese. 
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11. Ove il rilascio del NOS comporti l’estensione 
dell’accertamento a cittadini stranieri o a cittadini italiani 
che hanno soggiornato all’estero, qualora le notizie non 
pervengano entro centocinquanta giorni dalla richiesta, 
fatta eccezione per il segretissimo, si procede al rilascio 
del NOS all’esito di una complessiva valutazione in or- 
dine all’insussistenza di motivi ostativi. Le informazioni 
pervenute oltre il termine di centocinquanta giorni sono 
comunque valutate ai fini del diniego, revoca, sospensio- 
ne, riduzione di classifica di segretezza, di qualifica di si- 
curezza internazionale del NOS. 


12. Ferma restando l’acquisizione del modello infor- 
mativo conforme al modulo approvato dall’UCSe, il 
complesso degli elementi informativi deve essere comun- 
que fornito entro il termine di centocinquanta giorni dal- 
la data della richiesta. Fatta eccezione per il rilascio dei 
NOS a livello SEGRETISSIMO, e fermo restando quanto 
previsto dal comma 7, l’inutile decorso del termine è va- 
lutato quale assenza di elementi di controindicazione. Le 
informazioni pervenute oltre il termine di centocinquanta 
giorni sono comunque valutate ai fini del diniego, revoca, 
sospensione, riduzione di classifica di segretezza, di qua- 
lifica di sicurezza internazionale del NOS. 


13. L'istruttoria per il rilascio del NOS si conclude en- 
tro il termine di dodici mesi dal ricevimento della richie- 
sta, prorogabile fino ad un massimo di ulteriori sei mesi 
nel caso risulti particolarmente complessa. 


14. Qualora vengano a cessare i motivi che avevano de- 
terminato la richiesta di rilascio del NOS, il soggetto pub- 
blico o privato richiedente ne dà tempestiva comunicazio- 
ne all’autorità competente, che interrompe l’istruttoria. 


15. Ai fini del rilascio del NOS si applicano, quando 
ritenuto necessario ed alle condizioni in esso descritte, le 
disposizioni di cui all’art. 118-bis del codice di procedura 
penale. 


16. A decorrere dal dodicesimo mese dall’entrata in 
vigore del presente Regolamento, l'Organo Nazionale di 
Sicurezza può rideterminare, riducendoli, i termini relati- 
vi al procedimento istruttorio preordinato al rilascio delle 
abilitazioni personali. A tal fine l’UCSe effettua un mo- 
nitoraggio dei procedimenti istruiti anche dalle Autorità 
eventualmente delegate. Del provvedimento di ridetermi- 
nazione è data comunicazione al Comitato parlamentare 
per la sicurezza della Repubblica nella relazione seme- 
strale di cui all’art. 33, comma 1, della legge. 


Art. 28. 


Modalità di acquisizione delle informazioni 


1. Ai fini dell’attuazione delle disposizioni contenute 
nell’art. 27 le informazioni sono acquisite, in funzione del 
luogo di residenza della persona per la quale è richiesto il 
rilascio del NOS: 


a) dalla questura competente per territorio; 


b) dal comando provinciale dell’ Arma dei Carabi- 
nieri ovvero dal Gruppo eventualmente istituito nel suo 
ambito, competente per territorio; 


c) dal comando provinciale della Guardia di finanza 
competente per territorio. 
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2. La questura, il comando provinciale dell’ Arma dei 
Carabinieri ovvero il Gruppo eventualmente istituito nel 
suo ambito o il comando provinciale della Guardia di fi- 
nanza cui è rivolta la richiesta di informazioni, provvede 
a: 


a) svolgere gli accertamenti sulla base delle notizie 
esistenti agli atti, o comunque disponibili; 


b) effettuare le interrogazioni delle banche dati di- 
sponibili, acquisendo aggiornati elementi conoscitivi in 
relazione alle segnalazioni rilevate; 


c) acquisire, in relazione alle persone oggetto 
dell’indagine conoscitiva che abbiano risieduto o domici- 
liato anche in altre località italiane per periodi superiori a 
1 anno, le informazioni d’interesse presso le articolazioni 
competenti per territorio; 


d) acquisire presso gli uffici giudiziari le informa- 
zioni d’interesse riferite a procedimenti definiti o in corso 
nonché presso le prefetture le notizie concernenti condot- 
te depenalizzate, che abbiano comunque attinenza con la 
valutazione di affidabilità del soggetto da abilitare; 


e) verificare l’eventuale sussistenza di fallimenti, 
pignoramenti ed altre situazioni patrimoniali pertinenti; 


)) verificare l’esistenza di ulteriori notizie utili pres- 
so la questura o i corrispondenti comandi delle altre due 
Forze di polizia; 


g) compilare un “Modello informativo”, riepilogati- 
vo degli elementi informativi acquisiti, conforme al mo- 
dello approvato dall’UCSe. 


3. Per l’acquisizione delle informazioni riferite ad un 
cittadino italiano: 


a) residente all’estero, fatto salvo quanto indicato 
alla lettera 5), è interessata, in relazione all’ultima resi- 
denza avuta in Italia, la questura o il comando provinciale 
dell’ Arma dei Carabinieri ovvero il Gruppo territoria- 
le eventualmente istituito nel suo ambito, o il comando 
provinciale della Guardia di finanza, competente per 
territorio; 


b) che non abbia mai risieduto in Italia, è competente 
la questura o il comando provinciale dell’ Arma dei Cara- 
binieri di Roma. 


4. All’acquisizione delle informazioni presso i compe- 
tenti organi di Paesi esteri, di organizzazioni internazio- 
nali e dell’Unione europea provvede l’UCSe anche per 
i procedimenti di rilascio dei NOS da parte dell’autorità 
delegata ai sensi dell’art. 24. L’UCSe assolve, inoltre, agli 
obblighi di collaborazione assunti, a condizione di reci- 
procità, in ambito internazionale e dell’Unione europea. 


Art. 29. 
Decisione 


1. Acquisite le informazioni, l’autorità competente al 
rilascio: 


a) verifica la completezza ed esaustività degli ele- 
menti di conoscenza disponibili; 


b) effettua ulteriori 
necessari; 


approfondimenti, laddove 
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c) valuta l’affidabilità della persona sulla base delle 
informazioni assunte e del quadro normativo che regola 
la materia, anche richiedendo, in casi dubbi, elementi di 
valutazione al responsabile dell’impiego della persona 
per la quale è stato richiesto il rilascio del NOS, che, se 
dirigente e già abilitato almeno per i livelli di classifica 
di segretezza e qualifica di sicurezza richiesti, compila e 
sottoscrive una “dichiarazione di affidabilità”, conforme 
al modello approvato dall’UCSe, avente efficacia annua- 
le. Qualora il responsabile dell’impiego non sia dirigente, 
la “dichiarazione di affidabilità” viene prodotta dal diri- 
gente sovraordinato, già abilitato almeno per i livelli di 
classifica di segretezza e qualifica di sicurezza richiesti. 
Per gli operatori economici tale dichiarazione può esse- 
re rilasciata soltanto dal legale rappresentante o dal Fun- 
zionario alla sicurezza. Allo scadere dell’anno l’autorità 
competente adotta la definitiva determinazione in merito 
al rilascio del NOS. In presenza della “dichiarazione di af- 
fidabilità”, l’autorità competente rilascia un’abilitazione 
temporanea di durata annuale, con eventuali limitazioni. 
Per i provvedimenti concernenti il rilascio di NOS quali- 
ficati sono osservate, altresì, le disposizioni contenute nei 
trattati internazionali ratificati dall’Italia, nonché negli 
altri atti regolamentari internazionali approvati dall’Ita- 
lia e nella normativa dell’Unione europea che trattano la 
specifica materia. 


2. Effettuate le valutazioni di cui al comma 1, l’autorità 
competente dispone alternativamente: 


a) il rilascio del NOS. Per motivi di cautela possono 
essere attribuite al NOS limitazioni territoriali, di eleva- 
bilità e temporali; 


b) il diniego del NOS; 


c) la sospensione della procedura abilitativa quando 
sia necessario attendere la definizione di procedimenti in 
corso. 


Art. 30. 


Notifiche e custodia 


1. Dell’avvenuto rilascio, diniego, sospensione o revo- 
ca del NOS, dell’abilitazione temporanea, dei livelli di 
classifica di segretezza, delle qualifiche di sicurezza in- 
ternazionali accordati e delle eventuali limitazioni dispo- 
ste, ovvero della sospensione della procedura abilitativa, 
è data tempestiva comunicazione al soggetto pubblico o 
privato richiedente e, nei casi in cui il provvedimento sia 
stato adottato su delega, anche all’UCSe. 


2. Il NOS è custodito presso l’autorità che ha provve- 
duto al rilascio. Quando al rilascio provvede 1'UCSe ne 
da comunicazione al soggetto pubblico o privato che lo 
ha richiesto. 


3. I soggetti pubblici e privati tengono un elenco ag- 
giornato dei NOS e delle abilitazioni temporanee conces- 
si al personale dipendente. 


_— 27 È 
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Art. 31. 
Termini di validità del NOS 


1. II NOS ha la durata di cinque anni per la classifica 
di segretezza SEGRETISSIMO e di dieci anni per le clas- 
sifiche di segretezza SEGRETO e RISERVATISSIMO. 
Sono fatte salve diverse disposizioni contenute nei trattati 
internazionali ratificati dall’Italia nonché negli altri atti 
regolamentari internazionali approvati dall’Italia e nella 
normativa dell’Unione europea che trattano la specifi- 
ca materia. Ai fini del calcolo della relativa scadenza si 
tiene conto della data del “Modello informativo” di cui 
all’art. 28, comma, lettera g). 


Art. 32. 


Abilitazione temporanea 


1. Contestualmente all’avvio della procedura di rila- 
scio del NOS, ove sussistano urgenti e comprovate esi- 
genze di servizio, l'’UCSe e le altre autorità competenti 
previa comunicazione all’UCSe possono rilasciare abi- 
litazioni temporanee della validità massima di sei mesi, 
prorogabile una sola volta. 


2. La richiesta di rilascio dell’abilitazione temporanea 
specifica i motivi, la classifica di segretezza ed eventual- 
mente la qualifica di sicurezza necessari ed è corredata 
di una “dichiarazione di affidabilità” rilasciata dal re- 
sponsabile dell’impiego e, ove questi non sia dirigente, 
successivamente convalidata dal dirigente sovraordinato, 
già abilitato almeno per i livelli di classifica di segre- 
tezza e qualifica di sicurezza richiesti per l’abilitazione 
temporanea. 


3. L’abilitazione temporanea è altresì rilasciata ai sog- 
getti indicati all’art. 43 , comma 1, su richiesta dell’ope- 
ratore economico. A tali fini, l’operatore economico 
produce: 


a) dichiarazione dei soggetti interessati su modello 
approvato dall’UCSe circa le condizioni previste per il 
diniego, la sospensione o la revoca del NOS; 


b) “dichiarazione di affidabilità” del rappresentan- 
te legale o del Funzionario alla sicurezza in favore dei 
soggetti per i quali si chiede il rilascio dell’abilitazione 
temporanea. 


4. Per il rilascio dell’abilitazione temporanea le autori- 
tà competenti acquisiscono le informazioni necessarie tra 
quelle rinvenibili agli atti in proprio possesso e consultan- 
do le banche dati d’interesse, in primo luogo la banca dati 
di cui all’art. 8, della legge 1° aprile 1981, n. 121. 


Art. 33. 
Rinnovo del NOS 


1. La richiesta di rinnovo del NOS deve pervenire 
all’autorità competente con un anticipo di almeno sei 
mesi rispetto alla scadenza. Si applicano le stesse disposi- 
zioni ed è osservata la stessa procedura istruttoria previste 
per il rilascio. 
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2. Nei casi in cui per il NOS scaduto sia stato tempe- 
stivamente chiesto il rinnovo, il documento resta valido, 
sempre che non emergano elementi di controindicazione, 
fino al rilascio del nuovo. 


3. Quando la richiesta di rinnovo del NOS è inoltrata ol- 
tre il termine indicato al comma 1, l’autorità competente, in 
via eccezionale, può autorizzare la proroga di validità dello 
stesso a condizione che dai primi accertamenti non siano 
emersi elementi di controindicazione e, ove ritenuto neces- 
sario, venga fornita idonea dichiarazione di affidabilità. 


Art. 34. 


Istruzione sulla sicurezza 


1. Il rilascio del NOS, dell’abilitazione temporanea 
e l’accesso ad informazioni classificate “RISERVATO” 
è accompagnato dall’istruzione alla sicurezza a cura del 
soggetto pubblico o privato che impiega la persona. Se il 
NOS o l’abilitazione temporanea riportano anche una o 
più qualifiche di sicurezza, detta istruzione è estesa alle 
relative disposizioni internazionali o dell’Unione europea. 


2. In caso di affidamento di contratti classificati RI- 
SERVATO si osservano le disposizioni di cui al comma 2 
dell’art. 38. 


3. L’istruzione alla sicurezza ha ad oggetto il comples- 
so delle norme relative alla protezione delle informazione 
classificate, a diffusione esclusiva o coperte da segreto di 
Stato, con particolare riferimento alle disposizioni con- 
nesse all’espletamento dell’incarico affidato al soggetto 
abilitato e alla sicurezza CIS. 


Art. 35. 


Comunicazione di elementi rilevanti 
per il possesso del NOS 


1.I Funzionari o Ufficiali alla sicurezza o i Funzionari 
o Ufficiali alla sicurezza designati dei soggetti pubblici 
e degli operatori economici, ciascuno nell’ambito della 
propria sfera di competenza, comunicano tempestiva- 
mente all’UCSe ed all’autorità che ha provveduto al ri- 
lascio del NOS, se diversa dall’UCSe, eventuali elementi 
informativi suscettibili di influire negativamente sull’affi- 
dabilità delle persone abilitate. 


2. Le questure, i comandi dell’ Arma dei carabinieri e 
della Guardia di finanza, già interessati per l’acquisizione 
di informazioni finalizzate al rilascio del NOS, informano 
tempestivamente 1’ UCSe e l’autorità che ha provveduto 
al rilascio, se diversa dall’UCSe, della sopravvenuta co- 
noscenza di elementi determinativi dell’inaffidabilità del- 
la persona abilitata. 


3. I soggetti titolari di NOS sono tenuti a segnalare 
tempestivamente all’amministrazione o all’ente che ne ha 
chiesto l’abilitazione ogni mutamento nella propria situa- 
zione personale o familiare, nonché ogni altro elemento 
che potrebbe assumere rilevanza ai fini del possesso del 
NOS. L’eventuale accertamento, da parte dell’UCSe o 
dell’autorità competente al rilascio, di omissioni riguar- 
do agli obblighi di informazione viene valutata ai fini 
della permanenza del peculiare requisito di affidabilità 
dell’interessato. 
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Art. 36. 
Verifiche 


1. Ai sensi e per gli effetti dell’art. 9, comma 6, della 
legge, l’autorità che ha rilasciato il NOS può, secondo 
le procedure previste all’art. 24, comma 4, revocarlo, so- 
spenderne la validità o apporvi limitazioni sulla base di 
segnalazioni e verifiche a campione, anche nei casi di ri- 
chiesta di Abilitazione Preventiva di cui all’art. 43, dalle 
quali emergano motivi di inaffidabilità a carico del sog- 
getto interessato. 


2. Le verifiche di cui al comma 1 sono effettuate priori- 
tariamente con riguardo a persone abilitate: 


a) alla trattazione di informazioni classificate 
SEGRETISSIMO; 


b) alla trattazione di informazioni classificate SE- 
GRETO, se occupano posizioni per le quali hanno nor- 
male accesso ad una considerevole quantità di informa- 
zioni recanti tale livello di classifica di segretezza ovvero 
a sistemi di comunicazione o informatici che trattano o 
contengono informazioni classificate; 


c) alla trattazione di informazioni classificate RI- 
SERVATISSIMO o SEGRETO, se rivestono particolari 
responsabilità nell’ambito degli operatori economici, qua- 
li rappresentanti legali, Funzionari alla sicurezza, diretto- 
ri tecnici, titolari di quote di partecipazione qualificate; 


d) in presenza di elementi di controindicazione, va- 
lutati non ostativi in sede di rilascio del NOS. 


Art. 37. 


Criteri per il diniego, la revoca, la sospensione, la 
limitazione la riduzione di classifica o la dequalifica 
delle abilitazioni di sicurezza per le persone fisiche 


1. AI verificarsi di situazioni tali da ingenerare dubbi 
in ordine all’affidabilità della persona, l’abilitazione è so- 
spesa in via cautelare per il tempo strettamente necessario 
agli accertamenti del caso. 


2. Quando nei confronti della persona interessata emer- 
gono elementi, acquisiti o verificati ai sensi dell’art. 27, 
che influiscono negativamente sulla sua affidabilità in ter- 
mini di scrupolosa fedeltà alle Istituzioni della Repubbli- 
ca, alla Costituzione e ai suoi valori, nonché di rigoroso 
rispetto del segreto e delle norme finalizzate alla tutela 
delle informazioni, dei documenti e dei materiali classifi- 
cati, l’abilitazione è negata, revocata, sospesa, ridotta di 
livello di segretezza, di qualifica di sicurezza e dequali- 
ficata ovvero limitata territorialmente o temporalmente, 
secondo quanto previsto nei commi successivi. 


3. In relazione alla valutazione degli elementi di fatto 
che emergano dai precedenti o procedimenti penali e che 
possano influire sull’affidabilità della persona, è adottato 
uno dei provvedimenti seguenti: 


a) diniego o revoca delle abilitazioni di sicurezza 
personali in presenza di una sentenza definitiva di con- 
danna o di sentenza di condanna di primo grado confer- 
mata in appello per reati dolosi, o per reati colposi af- 
ferenti alla tutela e salvaguardia delle informazioni, dei 
documenti e dei materiali classificati; 
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b) sospensione delle abilitazioni di sicurezza perso- 
nali o della procedura in corso per il rilascio delle abili- 
tazioni di sicurezza personali in caso di assunzione della 
qualità di imputato, sottoposizione a taluna delle misure 
cautelari personali previste dalla legislazione vigente o 
sentenza di condanna di primo grado per i reati di cui alla 
lettera a); 


c) sospensione delle abilitazioni di sicurezza perso- 
nali o della procedura in corso per il rilascio delle abilita- 
zioni di sicurezza personali sulla base di comunicazioni, 
anche ai sensi dell’art. 118-bis c.p.p., dell’ Autorità giudi- 
ziaria, in relazione ad attività di indagine per i reati di cui 
alla lettera a). 

4. In riferimento ai provvedimenti di cui al comma 3, 
lettera a), la richiesta di rilascio dell’abilitazione può es- 
sere riproposta qualora la persona interessata sia stata ria- 
bilitata e la riabilitazione abbia estinto le pene accessorie 
ed ogni altro effetto penale della condanna. L’estinzio- 
ne del reato ai sensi dell’art. 445 c.p.p., nonché ai sensi 
dell’art. 157 c.p., non preclude la valutazione circa la ri- 
levanza dei fatti oggetto dell’imputazione ai fini del man- 
tenimento o del rilascio dell’abilitazione. 


5. Nei casi di cui al comma 3, lettere 5) e c), si dà luogo 
al ripristino della validità del NOS, o alla ripresa della 
procedura per il rilascio o di rinnovo, in caso di provve- 
dimento di archiviazione, di sentenza di proscioglimento 
o di sentenza di assoluzione di primo grado confermata 
in appello. 


6. Ai fini del comma 1 assume altresì specifica rilevan- 
za l’esistenza di elementi di informazione tali da far rite- 
nere o da mettere in evidenza: 


a) che la persona sia interessata ad attività di spio- 
naggio, sabotaggio, collusione, relazione, collaborazio- 
ne con elementi che perseguono fini o svolgono attività 
contrarie alla difesa e alla sicurezza dello Stato italiano o 
degli Stati membri delle organizzazioni internazionali di 
cui l’Italia è parte; 

b) che il soggetto sia interessato ad attività eversive 
o di fiancheggiamento nei confronti di persone appartenu- 
te, appartenenti o collegate a movimenti, nuclei o gruppi 
che perseguono fini contrari alle istituzioni democratiche 
dello Stato, ovvero svolgono propaganda diretta a sovver- 
tire con la violenza l'ordinamento democratico; 


c) che il soggetto intrattenga o abbia intrattenu- 
to rapporti, a qualsiasi titolo, con organizzazioni di tipo 
mafioso o con altre organizzazioni che perseguono fini 
criminosi, ovvero sono dedite ad attività contrarie ai fon- 
damentali interessi economici, finanziari e industriali del 
Paese; 


d) che il soggetto sia affetto da stati psicopatologici 
ovvero faccia uso di sostanze stupefacenti, abuso di alco- 
lici o sia dipendente da sostanze psicotrope; 


e) situazioni di fatto, pertinenti e non eccedenti le 
specifiche finalità di tutela perseguite, che possono vero- 
similmente rendere il soggetto non adeguato alla gestione 
di informazioni classificate in quanto influenzabile, vulne- 
rabile o possibile destinatario di atti di condizionamento o 
pressione, tali da influire sulla libertà di determinazione, 
quali, in via esemplificativa, rilevanti esposizioni debito- 
rie, fallimenti, pignoramenti, precedenti disciplinari per 
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fatti rilevanti ai fini dell’affidabilità, legami di parentela, 
coniugio, affinità o frequentazione con persone in relazio- 
ne alle quali sussistono gli elementi di cui ai commi 3 e 6, 
lett. a), 6), c) e d); 


)) gravi violazioni delle norme di sicurezza per la 
protezione e la tutela delle informazioni classificate o 
compromissione delle stesse. 


7. Nei casi di cui alle lettere a), 5), c) e d) del comma 6 
viene disposto il diniego o la revoca del NOS; nei casi 
di cui alla lettera e) del comma 6 il diniego o la revoca 
del NOS o l’attribuzione al NOS di limitazioni; nei casi 
di cui alla lettera f) del comma 6 il diniego, la revoca, la 
sospensione del NOS ovvero la riduzione di classifica o 
la dequalifica, in relazione alle circostanze ed alla gravità 
della violazione. 


8. I provvedimenti di diniego, revoca e sospensione 
concernenti le abilitazioni di sicurezza personali sono 
motivati con il riferimento alle disposizioni di cui al pre- 
sente articolo. 


Capo V 


TUTELA DELLE INFORMAZIONI 
CLASSIFICATE E A DIFFUSIONE 
ESCLUSIVA NEL SETTORE INDUSTRIALE 


Art. 38. 


Norme per la trattazione 
delle informazioni classificate RISERVATO 


1. Qualora l’operatore economico debba trattare esclu- 
sivamente informazioni classificate RISERVATO, il lega- 
le rappresentante — o altro soggetto, socio o dipendente 
dell’operatore economico, designato dal legale rappre- 
sentante — è il responsabile della gestione delle informa- 
zioni classificate RISERVATO secondo la legge, il pre- 
sente regolamento e le relative disposizioni applicative. 
Ai fini dell’esecuzione del contratto il committente ac- 
certa che non sussista a carico del responsabile sentenza 
di condanna definitiva o sentenza di condanna di primo 
grado confermata in appello per reati afferenti la tutela e 
la salvaguardia delle informazioni, dei documenti e dei 
materiali classificati. 


2. L'Organizzazione di sicurezza individuata dall’am- 
ministrazione o dell'impresa che affidano il contratto o il 
sub-contratto fornisce l’istruzione di sicurezza al respon- 
sabile, qualora l’operatore economico affidatario non sia 
abilitato. 


3. Il responsabile di cui al comma 1 è il referente del 
committente e dell’UCSe per la trattazione delle informa- 
zioni classificate RISERVATO. 


4. Il responsabile di cui al comma 1 assicura che l’ac- 
cesso alle informazioni RISERVATO sia consentito esclu- 
sivamente al personale che abbia necessità di conoscere e 
sia stato istruito sulle responsabilità e sulle conseguenze 
penali di una divulgazione non autorizzata delle informa- 
zioni classificate. 
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5. Per la gestione e la custodia delle informazioni 
classificate RISERVATO la sede dell’operatore econo- 
mico è dotata di apposita area controllata, come previsto 
dall’art. 72, nell’ambito della quale le informazioni clas- 
sificate sono conservate secondo modalità che non con- 
sentano l’accesso non autorizzato. 


6. La trasmissione di informazioni classificate RISER- 
VATO non è consentita con sistemi elettrici o elettronici 
non autorizzati dall’UCSe; è consentita la trasmissione 
postale che consenta la tracciabilità, ovvero mediante 
vettori commerciali o trasporto a mano, secondo le dispo- 
sizioni applicative del presente regolamento. 


7. In caso di violazione o compromissione delle infor- 
mazioni classificate RISERVATO, il responsabile di cui al 
comma 1 procede ai sensi delle vigenti disposizioni, co- 
municando altresì l’evento al committente ed all’UCSe ai 
fini degli adempimenti previsti dalle vigenti disposizioni. 


8. Le stazioni appaltanti e i committenti comunicano 
all’UCSe, per il tramite delle rispettive organizzazioni di 
sicurezza, gli operatori economici risultati aggiudicatari 
di contratti recanti classifica RISERVATO. Il sub-appalto 
o la sub-commessa autorizzati, classificati RISERVATO, 
sono comunicati all’UCSe, secondo il modello approvato, 
dal soggetto responsabile ai sensi del comma 1 dell’ope- 
ratore economico subappaltante. 


9. La corretta gestione e custodia di informazioni clas- 
sificate RISERVATO è soggetta ai poteri di vigilanza de- 
gli organi di sicurezza individuati dalle Amministrazioni 
che affidano i contratti e delle imprese committenti non- 
ché ai poteri ispettivi dell’UCSe. 


Art. 39. 


Trattazione delle informazioni classificate RISERVATO 
mediante sistemi informatici nel settore industriale 


1. Per la trattazione delle informazioni classificate RI- 
SERVATO mediante sistemi informatici, l’operatore eco- 
nomico osserva le regole di sicurezza di cui all’art. 66, 
comma 2 del presente regolamento. L'operatore econo- 
mico trasmette all’UCSe e all’amministrazione appal- 
tante o all’impresa committente un’autocertificazione 
attestante la disponibilità di, una postazione informatica 
non connessa a reti fisse o mobili, ovvero con le caratteri- 
stiche stabilite nelle disposizioni applicative del presente 
regolamento, da utilizzare per la specifica procedura di 
affidamento o esecuzione contrattuale. 


2. Ai fini dell’esecuzione del contratto il legale rappre- 
sentante — o altro soggetto, socio o dipendente dell’ope- 
ratore economico, designato dal legale rappresentante — 
assume la funzione di “amministratore di sistema”. 


3. L'amministratore di sistema assicura l’attuazione 
delle regole di sicurezza di cui al comma 1 ed è responsa- 
bile degli aspetti tecnici di sicurezza del sistema destinato 
a trattare informazioni classificate RISERVATO. 
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Art. 40. 


Attività industriali di rilievo strategico (NOSIS) 


1. Agli operatori economici la cui attività, per oggetto, 
tipologia o caratteristiche, assume rilevanza strategica per 
la protezione degli interessi politici, militari, economici, 
scientifici e industriali nazionali, è rilasciato il Nulla Osta 
di Sicurezza Industriale Strategico (NOSIS). Rientrano in 
tale ambito, in particolare: 


a) le attività volte ad assicurare la difesa e la sicurez- 
za dello Stato; 


b) le attività volte alla produzione o allo sviluppo di 
tecnologie suscettibili di impiego civile/militare; 


c) le attività connesse alla gestione delle infrastrut- 
ture critiche anche informatiche e di interesse europeo; 


d) la gestione di reti, di infrastrutture e di siste- 
mi di ricetrasmissione ed elaborazione di segnali e/o 
comunicazioni; 


e) la gestione di reti e infrastrutture stradali, ferro- 
viarie, marittime ed aeree; 


la gestione di reti e sistemi di produzione, distri- 
buzione e stoccaggio di energia ed altre infrastrutture 
critiche; 


g) la gestione di attività finanziarie, creditizie ed as- 
sicurative di rilevanza nazionale. 


2. Il NOSIS abilita gli operatori economici di cui al 
comma 1 alla trattazione di informazioni classificate, an- 
che a diffusione esclusiva, e alla partecipazione a gare 
d’appalto e procedure finalizzate all’affidamento di con- 
tratti classificati e qualificati NATO e UE e alla relativa 
esecuzione in caso di aggiudicazione. 


3. Il NOSIS è rilasciato all’esito di accertamenti diretti 
ad escludere dalla conoscibilità di notizie, documenti, atti 
o cose classificati e a diffusione esclusiva i soggetti che 
non diano sicuro affidamento di scrupolosa fedeltà alle 
istituzioni della Repubblica, alla Costituzione e ai suoi 
valori, nonché di rigoroso rispetto del segreto. Per il ri- 
lascio del NOSIS si applicano le disposizioni dell’art. 44 
e dell’art. 45 , per quanto compatibili. Ai fini del rilascio 
del NOSIS l’operatore economico deve dotarsi di un’area 
riservata con le caratteristiche di cui al Capo VIII, di 
omologazione CIS e, ove necessario, COMSEC. 


4. L’istruttoria per il rilascio del NOSIS si conclude nel 
termine di dodici mesi dalla ricezione della richiesta da 
parte di UCSe, prorogabile fino ad un massimo di ulterio- 
ri sel mesi nel caso di particolare complessità. 


5. Il NOSIS è rilasciato di norma a livello SEGRETO, 
o qualora ne ricorrano le condizioni, a livello superiore e 
con qualifica NATO e UE. 


6. La durata del NOSIS è stabilita in relazione al per- 
manere delle attività di rilievo strategico, fatte salve le 
periodiche verifiche, anche attraverso le attività ispetti- 
ve, finalizzate ad accertare il mantenimento dei requisiti 
abilitativi. 
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7. Qualora a carico di una società munita di NOSIS 
ovvero dei soggetti indicati nell’art. 47, commi 2 e 3, lett. 
b), e art. 48, comma I, lettera c), emerga una o più delle 
cause di sospensione, revoca, limitazione, previste dagli 
articoli 37, 47 e 48, ’UCSe avvia un’istruttoria finalizzata 
ad accertare se l’organizzazione di sicurezza della società 
mantiene caratteristiche adeguate alla salvaguardia delle 
informazioni classificate e a diffusione esclusiva, costi- 
tutive del patrimonio strategico di interesse nazionale. A 
tal fine l'’UCSe, previo accertamento, anche di carattere 
ispettivo, e acquisizione di notizie e pareri dalle ammi- 
nistrazioni pubbliche e private competenti e, ove neces- 
sario, dall’ Autorità Giudiziaria ai sensi dell’art. 118 bis 
C.p.p., può indicare prescrizioni e condizioni, assegnando 
un termine per l’adempimento. 


8. Qualora dall’istruttoria condotta emergano, anche 
per accertata inadempienza delle prescrizioni e condi- 
zioni assegnate, elementi di fatto sull’inadeguatezza 
dell’operatore economico a salvaguardare le informa- 
zioni classificate e a diffusione esclusiva, costitutive del 
patrimonio strategico di interesse nazionale, il Direttore 
generale del DIS-Organo nazionale di sicurezza formula 
indirizzi all’UCSe per la limitazione, sospensione e, in 
casi eccezionali, a tutela degli interessi nazionali, revoca 
del NOSIS. 


9. Dell’avvio del procedimento di cui ai commi 7 e 8 
e dei relativi esiti, il Direttore generale del DIS - Organo 
nazionale di sicurezza informa l’ Autorità nazionale per 
la sicurezza 


Art. 41. 


Informazioni a diffusione esclusiva 


1. Nell’ambito dei settori di cui all’art. 40, l’autorità 
competente, individuata ai sensi dell’art. 3 del decreto 
del Presidente della Repubblica 19 febbraio 2014, n. 35 
e dell’art. 3 del decreto del Presidente della Repubblica 
25 marzo 2014, n. 86, definisce le informazioni e i do- 
cumenti, ovvero le categorie di informazioni e documen- 
ti, su cui apporre il vincolo di diffusione esclusiva di cui 
all’art. 1, lettera v), anche per il tramite di apposita delega 
conferita all’operatore economico. 


2. Qualora alle informazioni coperte dal vincolo di cui 
al comma | sia stata attribuita una classifica, le misure di 
tutela applicabili, ulteriori rispetto alla limitazione della 
diffusione, sono quelle corrispondenti al relativo livello 
di classifica, così come stabilite nelle vigenti disposizioni 
in materia. 


3. Le disposizioni per la gestione e la definizione delle 
misure di salvaguardia e di tutela delle informazioni co- 
perte esclusivamente dal vincolo di cui al comma 1 sono 
fissate con direttive applicative emanate dall’Organo na- 
zionale di sicurezza, secondo criteri che tengano conto 
delle esigenze di sicurezza, anche in ragione degli ambiti 
territoriali e degli assetti proprietari nei quali l'operatore 
economico si trova ad agire. 
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Art. 42. 


Abilitazioni di sicurezza per gli operatori economici 


1. Fermo restando quanto previsto dall’art. 40, agli 
operatori economici è richiesta rispettivamente l’ Abili- 
tazione Preventiva (AP), per partecipare a gare d’appal- 
to o procedure classificate per l'affidamento di contratti 
classificati RISERVATISSIMO o SEGRETO ed il NOSI 
per partecipare a gare o a procedure classificate per l’af- 
fidamento di contratti classificati superiori a SEGRETO 
e per eseguire lavori, fornire beni e servizi, realizzare 
opere, studi e progettazioni con classifica superiore a 
RISERVATO. 


2. Le abilitazioni industriali e le abilitazioni personali 
sono rilasciate altresì ad operatori economici in relazio- 
ne alla partecipazione a procedure per l’affidamento di 
contratti con la NATO, la UE, altre organizzazioni inter- 
nazionali ovvero con Paesi esteri che, secondo 1 rispettivi 
ordinamenti, richiedano il possesso delle abilitazioni di 
sicurezza industriali e/o personali. 


3. Durante lo svolgimento delle procedure di gara o 
di affidamento dell’esecuzione di lavori o di fornitura 
di beni e di servizi, la circolazione di informazioni clas- 
sificate è limitata a quanto strettamente necessario per 
l'espletamento delle fasi concorsuali. 


Art. 43. 


Abilitazione Preventiva 


1. Il rappresentante legale dell’operatore economico, in 
possesso della cittadinanza italiana, che intenda parteci- 
pare a gare o a procedure classificate per l’affidamento 
di contratti classificati RISERVATISSIMO o SEGRETO, 
ovvero qualificati, relativi a lavori o a forniture di beni 
e servizi chiede all’UCSe il rilascio dell’ Abilitazione 
Preventiva (AP), informandone l’ente appaltante. Chie- 
de inoltre, unitamente alla richiesta di rilascio dell’AP, il 
rilascio del NOS e dell’Abilitazione temporanea per sé e 
per i soggetti interessati alla trattazione di informazioni 
classificate nell’ambito della procedura concorsuale, ove 
già non in possesso. 


2. Per ottenere il rilascio dell’ Abilitazione Preventiva 
(AP), l’operatore economico deve produrre: 


a) copia del bando di gara o di altro atto di indizio- 
ne della procedura di affidamento per la quale si chiede 
l’abilitazione, dal quale risulti la classificazione superiore 
a RISERVATO ed il relativo livello e qualifica; 


b) dichiarazione su modello approvato dall’UCSe 
circa le condizioni previste per il diniego, la sospensione 
o la revoca del NOS relative ai soggetti di cui all’art. 47, 
comma 2, ovvero ad altro personale da abilitare. 


c) dichiarazione con la quale si impegna, qualora 
risulti affidatario dell’esecuzione di lavori o di fornitura 
di beni e servizi, a costituire un’area riservata con le ca- 
ratteristiche indicate al Capo VIII, idonea a soddisfare le 
esigenze connesse all’esecuzione contrattuale. 


d) dichiarazione circa l’assenza delle condizioni 
ostative di cui all’art. 47, comma 1, lett. a) e d). 
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3. AI fine di cui al comma 2 1 UCSe acquisisce secondo 
le vigenti disposizioni e valuta: 


a) il certificato, in corso di validità, del casellario 
giudiziale e dei carichi pendenti di tutte le persone le- 
galmente autorizzate a rappresentare ed impegnare l’im- 
presa e di quelle incaricate di trattare le informazioni 
classificate; 


b) il certificato integrale, in corso di validità, di iscri- 
zione al registro delle imprese, rilasciato dalla competen- 
te camera di commercio; 


c) la documentazione antimafia di cui all’art. 84 del 
decreto legislativo 6 settembre 2011, n. 159 e successive 
modificazioni, anche mediante le modalità di cui all’art. 1, 
comma 52, della legge 6 novembre 2012, n. 190; 


4. Qualora l’operatore economico non disponga di 
un’area riservata di II classe, la trattazione di informazioni 
classificate RISERVATISSIMO o SEGRETO potrà svol- 
gersi esclusivamente presso un’area riservata del commit- 
tente con le caratteristiche di cui al Capo VIII. La trat- 
tazione di informazioni classificate RISERVATISSIMO o 
SEGRETO con sistemi informatici è consentita all’opera- 
tore economico che disponga in uso esclusivo di un CIS 
omologato dall’ UCSe. Qualora tale condizione non sussi- 
sta, l'operatore economico, può richiedere di utilizzare un 
sistema informatico omologato del committente. 


5. L’abilitazione preventiva ha validità di sei mesi dalla 
data del rilascio, prorogabili, in ragione del protrarsi delle 
procedure di gara o di affidamento, per un periodo massi- 
mo di uguale durata. 


6. Ferme restando le responsabilità civili e penali in 
caso di dichiarazioni mendaci, qualora sia accertata, in 
difformità da quanto dichiarato dall’interessato, la sussi- 
stenza di alcuna delle condizioni previste dall’art. 37 a 
carico del legale rappresentante, si dispone il diniego o 
la revoca dell’ AP. La richiesta di AP può essere reiterata 
dall’operatore economico qualora lo stesso abbia proce- 
duto all’estromissione del soggetto che ha fornito dichia- 
razioni mendaci dalla titolarità della legale rappresentan- 
za, nonché dall’organizzazione di sicurezza. 


7. L’istanza di rilascio dell’abilitazione preventiva pri- 
va della documentazione di cui al comma 2, è dichiarata 
irricevibile e ne viene data comunicazione all’operatore 
economico interessato. 


8. L'operatore economico all’atto dell’aggiudicazione 
dei lavori, della fornitura o del servizio classificati RI- 
SERVATISSIMO o SEGRETO, per il tramite della sta- 
zione appaltante, chiede tempestivamente il rilascio del 
NOSI e delle relative omologazioni CIS e, ove necessa- 
rio, COMSEC. 


Art. 44. 


Nulla Osta di Sicurezza Industriale 


1. Il NOSI è richiesto per la partecipazione alle gare 
d’appalto e alle altre procedure classificate finalizzate 
all’affidamento di contratti classificati di livello superiore 
a SEGRETO, anche qualificati. Il NOSI è richiesto altresì 
per l’esecuzione di lavori, la fornitura di beni e servizi, la 
realizzazione di opere, studi e progettazioni con classifica 
superiore a RISERVATO ovvero qualificati. 
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Il NOSI e le abilitazioni personali, inoltre, sono rila- 
sciati ad operatori economici per l’esecuzione di contratti 
con il DIS, I’ AISE e l’AISI, disciplinati dal regolamento 
di cui all’art. 29, comma 4 della legge per i quali siano 
state dichiarate dall’organismo competente particolari 
esigenze di tutela della sicurezza tali da richiedere co- 
munque il possesso delle abilitazioni di sicurezza perso- 
nali ed industriali. Per tali contratti si applicano altresì le 
disposizioni di cui all’art. 45, comma 8. 


2. Presupposto per il rilascio del NOSI è che il legale 
rappresentante, il Funzionario alla sicurezza e, ove neces- 
sario, il direttore tecnico e altro personale siano in pos- 
sesso di NOS. 


3. Per il rilascio del NOSI, ai fini della partecipazione 
a gare d’appalto o alle altre procedure finalizzate all’af- 
fidamento di contratti classificati di livello superiore a 
SEGRETO, nonché ai fini dell’esecuzione di contratti 
relativi a lavori o forniture di beni e servizi classificati 
RISERVATISSIMO o superiore, l’operatore economico 
deve dotarsi di un’area riservata con le caratteristiche in- 
dicate al Capo VIII, idonea a soddisfare le esigenze con- 
nesse all’esecuzione contrattuale. 


4. L’UCSe accerta l’esistenza e l’idoneità, presso l’ope- 
ratore economico che partecipa a procedure per l’affida- 
mento di contratti di livello superiore a SEGRETO o che 
risulta affidatario di contratti per l'esecuzione di lavori o 
di forniture di beni e servizi classificati RISERVATISSI- 
MO o SEGRETO, di aree controllate e di aree riservate 
con le caratteristiche indicate al Capo VIII. I relativi ac- 
certamenti sono affidati agli organi di sicurezza presso le 
Forze Armate. Per l’acquisizione dei suddetti elementi la 
Forza armata si avvale dei dipendenti Nuclei Sicurezza. 


5. Qualora l’esecuzione del contratto implichi la tratta- 
zione di informazioni con classifica RISERVATISSIMO 
o superiore anche con sistemi COMSEC e CIS, l’opera- 
tore economico deve dotarsi di omologazioni COMSEC 
e CIS secondo le prescrizioni previste, rispettivamente, ai 
Capi VI e VII. 


6. In caso di subappalto, il subcommittente comunica 
all’UCSe, tramite apposito modello approvato, gli opera- 
tori economici affidatari della subcommessa classificata 
e dichiara il rilascio dell’autorizzazione a subcommettere 
da parte della stazione appaltante. Gli operatori economi- 
ci affidatari della sub commessa richiedono all’UCSe il 
rilascio del NOSI. 


Art. 45. 
Istruttoria per il rilascio del NOSI 


1. Il NOSI è rilasciato all’esito di accertamenti diretti 
ad escludere dalla conoscibilità di notizie, documenti, atti 
o cose classificati gli operatori economici che non diano 
sicuro affidamento di scrupolosa fedeltà alle istituzioni 
della Repubblica, alla Costituzione e ai suoi valori, non- 
ché di rigoroso rispetto del segreto. 

2. Per ottenere il rilascio del NOSI, il legale rappresen- 
tante in possesso della cittadinanza italiana deve produr- 
re, qualora non già presentato in sede di richiesta dell’ AP: 

a) modello di domanda di rilascio del NOSI e relati- 
vo foglio notizie; 
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b) copia della lettera d’invito o di altro atto di indi- 
zione della procedura di affidamento per la quale viene 
richiesta l’autorizzazione, nonché prova dell’avvenuta 
aggiudicazione; 


c) dichiarazione circa l’assenza delle condizioni 
ostative di cui all’art. 47, comma 1, lett. a) e db); 


d) richiesta contestuale di rilascio del NOS del lega- 
le rappresentante e di tutto il personale, qualora non già 
muniti, da impiegare nella trattazione delle informazioni 
aventi un livello di classifica superiore a RISERVATO; 


e) documentazione attestante l’identità dei titolari 
effettivi dell’operatore economico ai sensi del decreto le- 
gislativo 21 novembre 2007, n. 231. 


3. Nel caso di partecipazione a gare o procedure per 
l’affidamento di contratti con classifica di livello superio- 
re a SEGRETO, per ottenere il rilascio del NOSI, l’opera- 
tore economico deve produrre all’UCSe, tramite l’ammi- 
nistrazione appaltante copia della lettera di invito, nonché 
l’ulteriore documentazione. di cui al comma 2. 


4. Aî fini del rilascio del NOSI, l’UCSe acquisisce, se- 
condo le vigenti disposizioni, e valuta la documentazione 
di cui al comma 3 dell’art. 43. 


5. Sulla base di verifiche e segnalazioni di cui all’art. 36, 
l’UCSe può richiedere la documentazione di cui al com- 
ma 2, lettera e), anche in relazione ad abilitazioni di sicu- 
rezza industriali già rilasciate alla data di entrata in vigore 
del presente regolamento. L’operatore economico desti- 
natario di tale richiesta fornisce tempestiva comunicazio- 
ne circa ogni modifica relativa ai titolari effettivi. 


6. Per il rilascio del NOSI, l’UCSe acquisisce elementi 
informativi presso le articolazioni di Forza armata, le For- 
ze di polizia, le Prefetture-Uffici territoriali del Governo, 
le pubbliche amministrazioni e, ove necessario, i soggetti 
erogatori di servizi di pubblica utilità. 


7. Il NOSI è rilasciato entro il termine di sei mesi dalla 
data in cui la richiesta dell’operatore economico è perve- 
nuta all’UCSe. Qualora per esigenze istruttorie sorga la 
necessità di acquisire informazioni dall’operatore econo- 
mico o dall’amministrazione o ente committente, i termi- 
ni sono sospesi fino alla ricezione degli elementi richiesti. 


8. Qualora la stazione appaltante lo ritenga necessa- 
rio, autorizza l’operatore economico in possesso di Abi- 
litazione Preventiva a dare inizio all’esecuzione prima 
del rilascio del NOSI, ferma restando l’impossibilità di 
proseguire nell’esecuzione in caso di mancato rilascio 
del NOSI. Dell’anticipata esecuzione l’amministrazione 
appaltante informa l’UCSe per il tramite dell’organo di 
sicurezza competente. 


Art. 46. 
Termini di validità del NOSI 


1. Il NOSI ha la durata di cinque anni per la classifica 
di segretezza SEGRETISSIMO e di dieci anni per le clas- 
sifiche di segretezza SEGRETO e RISERVATISSIMO. 
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Art. 47. 


Criteri per il diniego e la revoca o la 
limitazione delle abilitazioni industriali 


1. Vengono adottati il diniego o la revoca dell’AP e del 
NOSI nel caso in cui: 


a) all’operatore economico sono state applicate le 
sanzioni interdittive di cui all’art. 9, comma 2, del decreto 
legislativo 8 giugno 2001, n. 231, lettere a), b) limitata- 
mente alla revoca e c), ed iscritte nell’anagrafe delle san- 
zioni amministrative di cui agli articoli 9 e 12 del decreto 
del Presidente della Repubblica 14 novembre 2002, n. 313; 


b) l’operatore economico sia incorso in una o più del- 
le cause di esclusione dalla partecipazione alle procedure 
di affidamento delle concessioni e degli appalti di lavori, 
forniture e servizi, anche nella qualità di affidatario di su- 
bappalti, nonché dalla stipula dei relativi contratti, previste 
dall’art. 38 del decreto legislativo 12 aprile 2006, n. 163; 


c) sul conto delle persone che rivestono funzione di 
amministrazione o di direzione o che esercitano, anche di 
fatto, la gestione o il controllo dell'impresa emerga taluno 
degli elementi di cui all’art. 37 comma 6, lett. a), db) e c) e 
nei casi di cui all’art. 94, comma I, del decreto legislativo 
n. 159/2011; 


d) per le società di capitali, quando sul conto dei ti- 
tolari, anche stranieri, di quote di partecipazione che, in 
rapporto al capitale sociale dell’impresa, avuto anche ri- 
guardo alle circostanze di fatto e di diritto, conferiscano 
la possibilità di esercitare sull’impresa stessa un’influenza 
notevole, ancorché non dominante, emerga taluno degli 
elementi indicati all’art. 37, comma 6, lettere a), b) e c). 


2. Nel caso in cui a carico del titolare della ditta indi- 
viduale, dei soci della società di persone, del legale rap- 
presentante o del direttore tecnico della società di capitali 
sussista taluna delle cause di diniego dell’ AT o del NOS, è 
disposto, rispettivamente, il diniego dell’ AP e del NOSI. 


3. Il provvedimento di diniego o revoca o di limita- 
zione del NOSI è altresì adottato quando, esperita la pro- 
cedura di cui all’art. 48, comma 5 , l’organizzazione di 
sicurezza dell’operatore economico presenta profili di 
perdurante inadeguatezza in ordine alla protezione e alla 
tutela delle informazioni, dei documenti e dei materiali 
classificati, a causa di: 


a) carenza delle misure fisiche di sicurezza o inade- 
guata attuazione delle procedure di sicurezza prescritte; 


b) carenza o insufficienza di figure rappresentative e 
professionali nei confronti delle quali sussistono le condi- 
zioni per il rilascio dell’abilitazione personale, in relazio- 
ne alla necessità di garantire la protezione e la tutela delle 
attività classificate da espletare o in atto; 


c) carenza delle misure di sicurezza tecnica (CIS e 
COMSEC) o inadeguata attuazione delle procedure di si- 
curezza prescritte. 


4. Il diniego o la revoca ai sensi del commal, lett. c) 
e d), non sono disposti qualora nei confronti dell’opera- 
tore economico sia adottata la misura dell’amministra- 
zione giudiziaria di cui all’art. 34 del decreto legislativo 
159/2011, purché l’organizzazione di sicurezza sia idonea 
alla gestione di informazioni e documenti classificati. 
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5. Qualora, pur in presenza di procedure concorsuali, 
l’operatore economico sia in grado, ai sensi della norma- 
tiva vigente, di proseguire il rapporto contrattuale con la 
stazione appaltante, l’abilitazione di sicurezza industriale 
non è sottoposta a misure di revoca o diniego, sempreché 
l’organizzazione di sicurezza sia idonea alla gestione di 
informazioni e documenti classificati. 


Art. 48. 


Criteri per la sospensione delle abilitazioni industriali 


1. Viene disposta la sospensione dell’ AP e del NOSI 
nei casi in cul: 

a) all'operatore economico vengano applicate le san- 
zioni previste dall’art. 9 del decreto legislativo 8 giugno 
2001, n. 231, comma I, lettere a) e c), e comma 2 lettera 5) 
limitatamente alla sospensione ed iscritte nell’anagrafe delle 
sanzioni amministrative di cui agli articoli 9 e 12 del decreto 
del Presidente della Repubblica 14 novembre 2002, n. 313; 


b) sopravvenga dopo il rilascio, a carico dei soggetti 
di cui al comma 2 dell’art. 47, taluna delle cause di cui 
all’art. 37 che evidenzi elementi di fatto tali da far ritene- 
re che l’operatore non dia sicuro affidamento ai fini della 
protezione e della tutela delle informazioni classificate. 
Resta fermo in questo caso quanto disposto dal comma 1, 
lett. c) dell’art. 47; 


c) la sospensione o la revoca rispettivamente dell’ AT 
o del NOS a personale abilitato non appartenente all’or- 
ganizzazione di sicurezza sia suscettibile di incidere, per 
il ruolo ricoperto da detto personale, sull’adeguatezza 
complessiva dell’operatore economico alla trattazione 
delle informazioni classificate; 


d) anche a seguito di verifiche di sicurezza, emerga- 
no le carenze o insufficienze previste dall’art. 47, com- 
ma 3, lett. a), b), c). 

2. La sospensione del NOSI e dell’AP rilasciata ai sen- 
si del decreto del Presidente del Consiglio dei ministri 
3 febbraio 2006, nelle ipotesi di cui al comma 1, lett. a) è 
disposta per la durata di 6 mesi, ad eccezione del caso in 
cui sia irrogata la sanzione prevista dall’art. 9 del decreto 
legislativo 8 giugno 2001, n. 231, comma, lettera 5), per 
il quale la sospensione opera nei limiti previsti dall’art. 13 
comma 2 del decreto legislativo 8 giugno 2001, n. 231. 


3. La sospensione del NOSI e dell’ AP, disposta nei casi 
indicati dal comma 1, lett. d), è efficace per un periodo non 
superiore a 6 mesi, nell’ambito del quale l’UCSe può impar- 
tire prescrizioni, soggette a successive verifiche di idoneità, 
cui l’operatore economico dovrà adeguarsi, a pena di revoca 
dell’abilitazione di sicurezza industriale. Ai fini del presente 
comma, l’UCSe può prescrivere all’operatore economico: 


a) la sostituzione dei soggetti la cui inidoneità al 
possesso dell’abilitazione personale ha causato la sospen- 
sione del NOSI; 

b) la garanzia che il destinatario di misura restrittiva 
o revoca del NOS sia soggetto ad idonee misure atte ad 
estrometterlo dal circuito informativo classificato; 

c) l’adozione di modelli organizzativi e di gestione 
previsti dal decreto legislativo 8 giugno 2001, n. 231, così 
come formulati a seguito del vaglio di cui all’art. 6, com- 
ma 3, del citato decreto legislativo 8 giugno 2001, n. 231; 
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d) di dotarsi di clausola statutaria che consenta ad un 
legale rappresentante, eventualmente non dotato di rap- 
presentanza generale, di subentrare nelle competenze del 
legale rappresentante al quale sia stata applicata misura 
restrittiva o di revoca dell’abilitazione personale, limita- 
tamente alle attività classificate da quest’ultimo gestite; 


e) il ripristino delle condizioni di sicurezza attraver- 
so ulteriori misure fissate dall’ UCSe. 


4. Nelle ipotesi di cui al comma 1, lett. c), la sospen- 
sione del NOSI e dell’ AP rilasciata ai sensi del decreto 
del Presidente del Consiglio dei ministri 3 febbraio 2006 
può essere disposta per un periodo massimo di 6 mesi, 
prorogabile fini ad ulteriori 6 mesi. Scaduti tali termini è 
disposta la cessazione della sospensione, nel caso siano 
reintegrate le condizioni di sicurezza, ovvero, ove ciò non 
avvenga, la revoca del NOSI. Qualora, pur in presenza 
delle condizioni di cui al comma 1, lett. c), sia verificata 
da parte dell’UCSe la sussistenza di livelli minimi di si- 
curezza, il provvedimento di sospensione non viene adot- 
tato, purché l’operatore economico ripristini le condizio- 
ni di sicurezza con le modalità ed entro i tempi indicati 
dall’UCSe. 


5. Nelle ipotesi di cui al comma 1, lett. 4), ’UCSe, 
nel provvedimento di sospensione, indica all’operatore 
economico le misure da adottare per il ripristino delle 
condizioni di sicurezza fissando un termine per realizzar- 
le. Qualora tali misure non vengano adottate nei termini 
stabiliti dall’UCSe, è disposta la revoca ai sensi del com- 
ma 3 dell’art. 47. Ove pur in presenza delle condizioni di 
cui al comma 1, lett. d), sia verificata da parte dell’UCSe 
la sussistenza di livelli minimi di sicurezza, il provvedi- 
mento di sospensione non viene adottato, purché l’opera- 
tore economico ripristini le condizioni di sicurezza con le 
modalità ed entro i tempi indicati dall’UCSe. 


6. Qualora l’operatore economico sia sottoposto alle 
misure previste dall’art. 32 del decreto legge 24 giugno 
2014, n. 90, convertito, con modificazioni, dalla legge 
11 agosto 2014, n. 114, aventi ad oggetto le commesse 
classificate in corso di esecuzione, la sospensione del 
NOSI non opera limitatamente a queste ultime, sempre- 
ché l’organizzazione di sicurezza sia idonea alla gestione 
di informazioni e documenti classificati. 


7. Qualora, pur in presenza di procedure concorsuali, 
l’operatore economico sia in grado, ai sensi della norma- 
tiva vigente, di proseguire il rapporto contrattuale con la 
stazione appaltante, l’abilitazione di sicurezza industriale 
non è sottoposta a misure sospensive, sempreché l’orga- 
nizzazione di sicurezza sia idonea alla gestione di infor- 
mazioni e documenti classificati. 


8. In caso di legale rappresentanza plurima, le disposi- 
zioni di cui al comma 1, lett. 5), non si applicano qualora 
vi sia altro rappresentante legale dell’operatore economi- 
co dotato di NOS. Quest’ultimo subentra, qualora con- 
sentito dalle disposizioni statutarie, nelle competenze del 
legale rappresentante al quale sia stata applicata misura 
di sospensione o di revoca del NOS, relativamente alle 
attività classificate. 
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Art. 49. 


Appendice riservata 


1. Nell’atto contrattuale che prevede la trattazione di 
informazioni classificate, le clausole di sicurezza fina- 
lizzate alla protezione e alla tutela delle informazioni 
classificate, nonché la lista che determina, per ciascuna 
informazione, il relativo livello di classifica di segretez- 
za e l’eventuale qualifica di sicurezza, sono contenute in 
un’apposita appendice classificata, non soggetta a pubbli- 
cità e divulgazione, denominata “Appendice riservata”. 


Art. 50. 


Motivazione dei provvedimenti in tema 
di abilitazioni di sicurezza industriali 


1. Il diniego, la revoca, la sospensione, le limitazioni 
delle abilitazioni di sicurezza per gli operatori economici 
(AP, NOSI e NOSIS) possono essere motivati con il ri- 
chiamo alle disposizioni degli articoli 37, 47 e 48. 


Art. 51. 


Efficacia dei NOSC e delle AP 


1.I NOSC rilasciati ai sensi del decreto del Presidente 
del Consiglio dei ministri 3 febbraio 2006, in corso di 
validità alla data di entrata in vigore del decreto del Presi- 
dente del Consiglio dei ministri 22 luglio 2011, conserva- 
no efficacia sino alla loro scadenza. Qualora, prima della 
scadenza del NOSC, sia presentata richiesta di NOSIS o 
di NOSI ai sensi degli articoli, rispettivamente, 40 e 44, e 
non emergano le controindicazioni di cui all’art. 47 e 48, 
il NOSC si intende prorogato fino al rilascio dell’abilita- 
zione richiesta. 


2. Le AP rilasciate ai sensi del decreto del Presidente 
del Consiglio dei ministri 3 febbraio 2006, in corso di 
validità alla data di entrata in vigore del decreto del Presi- 
dente del Consiglio dei ministri 22 luglio 2011 e, qualora 
in corso di validità, le relative omologazioni EAD, con- 
sentono di partecipare a gare classificate, con esclusione 
dell’esecuzione contrattuale, sino alla loro rispettiva sca- 
denza e non possono essere rinnovate. 


Art. 52. 


Conservazione della documentazione 
relativa alle abilitazioni di sicurezza 


1. La documentazione relativa alle abilitazioni di sicu- 
rezza è conservata per un periodo di tempo non superiore 
a quello necessario agli scopi per i quali essa è stata rac- 
colta e comunque per un periodo non superiore a dieci 
anni dalla scadenza dell’abilitazione stessa. 
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Capo VI 
SICUREZZA DELLE COMUNICAZIONI 


Art. 53. 


Materiali e documentazione COMSEC - Generalità 


1. Per materiali e documentazione COMSEC si inten- 
dono gli algoritmi e le logiche crittografiche, le apparec- 
chiature ed i sistemi crittografici, le chiavi di cifratura e le 
relative liste, nonché le pubblicazioni, atti a garantire la 
sicurezza delle informazioni classificate o coperte da se- 
greto di Stato e trasmesse con mezzi elettrici o elettronici. 


2. Sui materiali e sulla documentazione COMSEC, 
contenenti elementi crittografici atti a consentire la cifra- 
tura di informazioni classificate, è apposta l’indicazione 
“CIFRA” o “SICUREZZA CIFRA”. 


3. Sui materiali COMSEC, anche non classificati, as- 
soggettati a speciali controlli finalizzati ad assicurarne la 
tracciabilità, è apposta l’indicazione “C.C.I.”, acronimo 
di COMSEC CONTROLLED ITEM. 


Art. 54. 


Funzionario COMSEC 
e Custode del materiale CIFRA 


1. Nell’ambito degli Organi centrali e periferici di 
sicurezza istituiti presso ogni amministrazione o ente 
e degli Organi di sicurezza istituiti presso gli operatori 
economici: 


a) il Funzionario o Ufficiale COMSEC e il Funzio- 
nario o Ufficiale COMSEC designato sono incaricati di 
sovrintendere e controllare la corretta applicazione delle 
norme in materia di sicurezza delle comunicazioni, non- 
ché del mantenimento e della verifica dell’efficienza e 
della sicurezza delle operazioni crittografiche e CCI; 


b) il Custode del materiale CIFRA ed i sostituti sono 
incaricati della ricezione, gestione, custodia e distruzione 
del materiale crittografico e CCI in carico. 


2.Il Funzionario o Ufficiale COMSEC, il Funzionario 
o Ufficiale COMSEC designato, il Custode del materiale 
CIFRA ed il sostituto Custode del materiale CIFRA de- 
vono possedere un Nulla Osta di Sicurezza di livello non 
inferiore a “SEGRETO”. 


3. Per lo svolgimento delle sole attività di movimen- 
tazione o installazione di materiale COMSEC che non 
comportino attività crittografiche, è richiesta l’abilitazio- 
ne di livello RISERVATISSIMO. 


Art. 55. 


Autorizzazione all'accesso CIFRA 


1. Il personale che ha necessità di accedere ai materia- 
li ed alla documentazione COMSEC, sui quali è apposta 
l’indicazione “CIFRA”, deve possedere un’apposita au- 
torizzazione all’accesso CIFRA. 
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2. L'autorizzazione di cui al comma 1 presuppone la 
necessità di avere costante accesso ai materiali “CIFRA” 
ed è rilasciata dall’UCSe all’organo di sicurezza dell’am- 
ministrazione, ente o operatore economico di appartenen- 
za sulla base del possesso dei seguenti requisiti: 


— esclusiva cittadinanza italiana per gli incarichi di 
Funzionario o Ufficiale COMSEC, Funzionario o Uffi- 
ciale COMSEC designato, custode del materiale CIFRA 
e relativi sostituti; 


— cittadinanza italiana per gli altri incarichi 
COMSEC; 


— Nulla Osta di Sicurezza in corso di validità; 


— adeguata conoscenza delle misure di protezione e 
delle norme di gestione dei materiali crittografici; 


— dichiarazione di accettazione di responsabilità. 


3. L'autorizzazione all’accesso CIFRA ha validità di 
cinque anni ed è revocata al venir meno di uno dei requi- 
siti previsti per il rilascio, ovvero per motivi di carattere 
disciplinare o per comprovata negligenza. 


4. Il dirigente dell’UCSe può delegare le articolazio- 
ni centrali e periferiche dell’Organizzazione nazionale 
di sicurezza al rilascio ed alla revoca dell’autorizzazione 
all’accesso CIFRA su richiesta del Funzionario o Ufficia- 
le COMSEC dell’Organo centrale di sicurezza. In ogni 
caso, per i Funzionari o Ufficiali COMSEC, i Custodi del 
materiale CIFRA ed i sostituti custodi del materiale CI- 
FRA delle società e delle amministrazioni, limitatamente 
agli Organi centrali di sicurezza, le predette autorizzazio- 
ni sono rilasciate dall’UCSe. 


5. Dei provvedimenti adottati è data comunicazione 
all’UCSe che detiene e aggiorna l’elenco delle autorizza- 
zioni all’accesso CIFRA rilasciate. 


6. La cessione di materiali e documentazione COM- 
SEC adaltri Stati è subordinata alla sottoscrizione di spe- 
cifici accordi tecnici. 


Art. 56. 


Protezione, conservazione e trasporto 
di materiali e documentazione COMSEC 


1. I materiali e la documentazione COMSEC classi- 
ficati sono gestiti esclusivamente presso Aree riservate, 
costituite in strutture fisse o mobili, denominate “Centri 
COMSEC”, allestite secondo le prescrizioni tecniche e 
di sicurezza stabilite nelle disposizioni applicative del 
presente regolamento. Il Centro COMSEC presso il qua- 
le sono impiegati dispositivi crittografici per attività di 
telecomunicazione è denominato “Centro Comunicazioni 
Classificate”. 


2. Quando non in uso, tutto il materiale COMSEC sul 
quale è apposta l’indicazione “CIFRA” deve essere con- 
servato in contenitori di sicurezza, armadi corazzati 0 
camere blindate con caratteristiche tecniche identificate 
nelle disposizioni di cui al comma 1. Le chiavi crittogra- 
fiche e i dispositivi crittografici ad esse associate devono 
essere conservati separatamente. 

3. La spedizione ed il trasporto del materiale di cui al 
comma 2 è regolato da procedure individuate nelle dispo- 
sizioni applicative del presente regolamento. 
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Art. 57. 
Omologazione dei centri COMSEC 


1. Ogni amministrazione, ente od operatore economi- 
co, in possesso di NOSI o NOSIS che intenda costituire 
un centro COMSEC deve richiedere all’UCSe la relativa 
omologazione, unitamente all'omologazione di un CIS di 
adeguato livello. 


2. Il processo di omologazione prevede l’accertamento 
della rispondenza del Centro a specifici requisiti tecnico- 
installativi e di sicurezza fisica stabiliti nelle disposizioni 
applicative del presente regolamento, nonché la verifica 
del possesso, da parte del personale addetto, delle neces- 
sarie abilitazioni e delle conoscenze tecnico-professionali. 


3. Il Funzionario o Ufficiale COMSEC effettua l’ana- 
lisi del rischio cui il centro è esposto e all’esito redige 
un documento di analisi del rischio, secondo le modalità 
indicate nelle disposizioni applicative del presente rego- 
lamento, nel quale sono individuate le potenziali minacce 
alla sicurezza, le vulnerabilità del sistema predisposto per 
il controllo della sicurezza ed è valutato il rischio residuo 
dopo l’implementazione delle contromisure. 


4. Sulla base dei risultati dell’analisi del rischio, il Fun- 
zionario o Ufficiale COMSEC redige inoltre un regolamen- 
to interno di sicurezza COMSEC nel quale sono individuate 
le contromisure di tipo fisico, procedurale, personale, logi- 
co e tecnico da adottare e sono descritte dettagliatamente le 
procedure operative a cui gli utenti dovranno attenersi. 


5. L’UCSe valuta ed approva il regolamento interno di 
sicurezza COMSEC e rilascia un certificato di omologa- 
zione a seguito di una verifica di conformità del centro 
alle predisposizioni descritte nella documentazione di si- 
curezza approvata. 


6. Il dirigente dell’UCSe può delegare le articolazio- 
ni centrali dell’Organizzazione nazionale di sicurezza 
all’approvazione della documentazione di sicurezza ed 
alla verifica di conformità, relativamente a predetermina- 
te tipologie di centri COMSEC, secondo le disposizioni 
applicative del presente regolamento. 


7. Gli esiti delle attività eseguite in regime di delega 
sono trasmessi all’UCSe che, sulla base della documen- 
tazione di sicurezza prodotta e dei relativi pareri tecnici, 
effettua le valutazioni ai fini del rilascio del certificato di 
omologazione. 


8. In caso di gravi violazioni alle norme in materia di 
sicurezza delle comunicazioni o di accertate compromis- 
sioni l’omologazione è revocata. 


9. I centri COMSEC per temporanee esigenze opera- 
tive di durata non superiore a sei mesi non sono soggetti 
al formale rilascio del certificato di omologazione per la 
trasmissione di informazioni classificate fino al livello 
“SEGRETO”. 


10. L’attivazione dei predetti centri deve essere tem- 
pestivamente comunicata all’UCSe ed è effettuata sotto 
la responsabilità del Funzionario o Ufficiale COMSEC 
competente. 

11. Qualora permangano in un sito per un periodo di 
tempo inferiore a sei mesi, i Centri COMSEC mobili o 
trasportabili, realizzati per esigenze operative di ammi- 
nistrazioni pubbliche non necessitano di omologazione. 
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12. L’omologazione dei centri COMSEC, ove non 
diversamente stabilito nell’atto di formale omologa- 
zione, ha validità quinquennale. La richiesta di rinnovo 
dell’omologazione di un centro COMSEC, corredata 
della documentazione che attesta il mantenimento della 
configurazione approvata, è presentata all’UCSe sei mesi 
prima della relativa scadenza. In tale caso il certificato 
di omologazione COMSEC scaduto resta valido fino al 
rilascio del nuovo certificato, sempre che non siano state 
apportate modifiche alle configurazioni approvate. 


Art. 58. 


Omologazione dei Laboratori TEMPEST 


1. L’UCSe provvede all’omologazione dei laborato- 
ri TEMPEST, costituiti da soggetti pubblici o operatori 
economici per l’effettuazione delle verifiche di apparati e 
dispositivi atti ad eliminare le emissioni prodotte da ap- 
parecchiature elettroniche che elaborano o trattano infor- 
mazioni classificate. 


2. Il processo di omologazione prevede l’accertamen- 
to della rispondenza del laboratorio ai requisiti tecnici, 
di sicurezza fisica e personali, anche con riferimento alle 
relative omologazioni e abilitazioni, stabiliti nelle dispo- 
sizioni applicative del presente regolamento. 


3. L’omologazione dei laboratori Tempest, ove non di- 
versamente stabilito nell’atto di formale omologazione, 
ha validità quinquennale. Il rinnovo dell’omologazione 
dei laboratori Tempest è richiesto all’UCSe dal compe- 
tente Organo Centrale di sicurezza o Organizzazione di 
Sicurezza costituita presso un operatore economico, sei 
mesi prima della relativa scadenza. Qualora la richiesta 
sia formulata sei mesi prima della scadenza, il certificato 
conserva la sua efficacia fino al rinnovo. 


Art. 59. 


Omologazione di sistemi COMSEC e TEMPEST 


1. Gli algoritmi crittografici, gli apparati, dispositivi 
e sistemi COMSEC, nonché gli apparati, i sistemi e le 
piattaforme TEMPEST ed ogni altro dispositivo elettrico 
o elettronico il cui impiego sia finalizzato alla protezio- 
ne delle comunicazioni di informazioni classificate o alla 
protezione dei fenomeni inerenti le emissioni compro- 
mettenti devono essere omologati dall’ UCSe. 


2. La richiesta di omologazione COMSEC o TEM- 
PEST per i dispositivi o gli apparati di cui al comma 1 
deve essere inoltrata all’UCSe da parte dei soggetti pub- 
blici che abbiano interesse ad utilizzare tali apparati. Qua- 
lora un dispositivo o un apparato progettato e sviluppato 
da un’impresa presenti rilevanti aspetti di interesse per 
la protezione delle informazioni classificate, UCSe può 
avviare direttamente il processo di omologazione. 


3. I sistemi COMSEC e TEMPEST omologati sono 
soggetti a revisione secondo le disposizioni applicative 
del presente regolamento. 
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Capo VII 


SICUREZZA DEI COMMUNICATION 
AND INFORMATION SYSTEM - CIS 


Art. 60. 


Generalità 


Ai fini della trattazione di informazioni classificate 
nazionali, e di informazioni classificate internazionali, 
NATO e dell’Unione europea, i CIS devono essere orga- 
nizzati secondo metodologie e procedure che, attraverso 
la protezione del sistema e dei suoi componenti, risultino 
idonee ad assicurare la riservatezza, l’integrità, la dispo- 
nibilità, l'autenticità e il non ripudio delle informazioni 
classificate (Information Assurance). 


Art. 61. 


Funzionario o Ufficiale alla sicurezza CIS 


1. Nell’ambito degli Organi e delle Organizzazioni di 
sicurezza istituiti presso le amministrazioni, gli enti e gli 
operatori economici, i Funzionari o Ufficiali alla sicurez- 
za CIS, i relativi sostituti ed i designati sono responsabi- 
li della corretta applicazione e del rispetto delle norme 
poste a tutela delle informazioni classificate trattate con 
sistemi e prodotti delle tecnologie dell’informazione. 


2. Ove siano stati costituiti sistemi informatici isola- 
ti o distribuiti il Funzionario o Ufficiale alla sicurezza 
dell'Organo centrale o periferico nomina un Ammini- 
stratore di sistema, su designazione del Funzionario o 
Ufficiale alla sicurezza CIS. L'amministratore di sistema 
è inserito nell’organizzazione di sicurezza e dipende dal 
Funzionario o Ufficiale alla sicurezza dei CIS. 


3. Il personale di cui ai commi 1 e 2 deve possedere 
conoscenze tecniche e capacità professionali idonee a ga- 
rantire l’efficace svolgimento delle relative funzioni. 


Art. 62. 


Analisi del rischio — Regolamento interno 
di sicurezza dei CIS 


1. Il Funzionario o Ufficiale alla sicurezza CIS effettua 
l’analisi del rischio cui i sistemi di propria competenza 
sono esposti ed a tal fine adotta un documento nel quale: 


a) sono individuate le potenziali minacce alla sicu- 
rezza dei CIS; 


b) sono indicate le vulnerabilità del sistema adibito 
alla sicurezza; 


c) è descritto il rischio residuo dopo l’implementa- 
zione delle misure di sicurezza identificate; 


d) è individuata l’autorità operativa responsabile per 
la formale “accettazione” del rischio residuo. 
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2. Sulla base del documento di cui al comma 1, il 
Funzionario o Ufficiale alla sicurezza CIS redige il do- 
cumento di accettazione del rischio residuo e uno o più 
regolamenti interni di sicurezza, che sottopone all’au- 
torità competente per la sottoscrizione nei quali sono 
individuate le contromisure di tipo fisico, procedurale, 
personale, logico e tecnico da adottare e sono descritte 
dettagliatamente le procedure operative cui gli utenti do- 
vranno attenersi. Nelle disposizioni applicative del pre- 
sente regolamento sono individuate le caratteristiche dei 
documenti di sicurezza. 


Art. 63. 


Approvazione e omologazione dei CIS 


1. I CIS utilizzati per la trattazione di informazioni 
classificate o coperte da segreto di Stato devono essere 
approvati ed omologati dall’UCSe. 


2. Previa valutazione della documentazione concer- 
nente l’analisi del rischio, del regolamento interno di 
sicurezza del CIS, nonché della documentazione tecnica 
relativa alla descrizione dell’architettura del sistema e de- 
gli impianti tecnologici, l’UCSe approva il progetto del 
CIS e rilascia un certificato di sicurezza che abilita alla 
realizzazione del sistema medesimo. 


3. Terminata la fase di realizzazione, al fine di accertare 
la rispondenza del sistema realizzato con quanto previ- 
sto nella documentazione di progetto approvata, 1 UCSe 
effettua una verifica di conformità, al cui esito positivo 
rilascia un certificato di omologazione, valido per cinque 
anni. 

4. Nel periodo di validità del certificato di omologazio- 
ne eventuali variazioni al CIS dovranno essere approvate 
dall’UCSe. 


5. La richiesta di rinnovo dell’omologazione di un 
CIS, corredata della documentazione che attesta il man- 
tenimento della configurazione approvata, è presentata 
all’UCSe sei mesi prima della relativa scadenza. In tale 
caso il certificato di omologazione resta valido fino al ri- 
lascio del nuovo certificato, sempre che non siano state 
apportate modifiche alle configurazioni approvate. 


6. Per motivate esigenze operative o per modifiche a si- 
stemi ed installazioni che non possono subire interruzioni 
funzionali, l’UCSe rilascia un’autorizzazione provvisoria 
CIS, della validità massima di sei mesi, rinnovabile una 
sola volta. 


7.Il dirigente dell’UCSe può delegare, secondo le mo- 
dalità stabilite nelle disposizioni applicative del presente 
regolamento, le articolazioni centrali dell’Organizzazio- 
ne nazionale di sicurezza all’approvazione dei documenti 
di sicurezza ed alla verifica di conformità, relativamente 
ai CIS realizzati presso le loro infrastrutture. 


8. Le tipologie di CIS, individuate nelle disposizioni 
applicative del presente regolamento, da installare per 
temporanee esigenze operative di amministrazioni pub- 
bliche per un periodo non superiore a sei mesi, non sono 
soggette al rilascio del certificato di omologazione per la 
trasmissione di informazioni classificate fino al livello 
“SEGRETO”. 
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9. L’installazione dei CIS di cui al comma 8 è tempesti- 
vamente comunicata all’UCSe e l’attività è posta sotto la 
responsabilità del Funzionario o Ufficiale alla sicurezza 
CIS competente. 


Art. 64. 


Trattazione delle informazioni classificate 
RISERVATO mediante sistemi informatici 


1. Per la trattazione delle informazioni classificate RI- 
SERVATO tramite sistemi informatici, gli organi centra- 
li di sicurezza delle amministrazioni pubbliche inviano 
all’UCSe una dichiarazione redatta dal Funzionario o 
Ufficiale CIS competente, attestante la disponibilità di un 
sistema informatico, non connesso a reti fisse o mobili, o 
con le caratteristiche stabilite nelle disposizioni applicati- 
ve del presente regolamento. 


2. Si osservano le regole di sicurezza di cui all’art. 66, 
comma 2, del presente regolamento. 


Art. 65. 


Valutazione di sicurezza informatica 


1. Le funzioni di sicurezza del sistema informatico e le 
funzioni di sicurezza proprie del sistema operativo, sono 
sottoposte, ai sensi e per gli effetti del decreto del Pre- 
sidente del Consiglio dei ministri 11 aprile 2002, ad un 
processo di valutazione e certificazione nel quale l’UCSe 
coordina le attività dei Centri di valutazione e svolge le 
funzioni di Ente di certificazione. 


2. Le funzioni di sicurezza dei sistemi operativi instal- 
lati su stazioni di lavoro isolate o su reti locali, operanti in 
modalità dedicata e prive di connessioni verso l’esterno, 
possono non essere sottoposte al processo di certificazio- 
ne previsto dal decreto del Presidente del Consiglio dei 
ministri 11 aprile 2002 purché dette funzioni di sicurezza 
siano certificate da un Ente di certificazione qualificato ai 
sensi dell’accordo internazionale CCRA (Common Crite- 
ria Recognition Arrangement). 


3. Nelle disposizioni applicative del presente regola- 
mento sono previste procedure semplificate che l’ente di 
certificazione può adottare in presenza di accertate condi- 
zioni di sicurezza. 


Art. 66. 


Requisiti di sicurezza dei CIS 


1. Il processo di contenimento del rischio (“difesa in 
profondità”) è articolato secondo i seguenti criteri: 


a) “deterrenza”: è l’insieme delle misure volte a limi- 
tare le minacce che sfruttino le vulnerabilità del sistema; 


b) “prevenzione”: è l’insieme delle misure volte ad 
impedire od ostacolare di attacchi ai danni del CIS; 


c) “rilevamento”: è l’insieme delle misure tecniche 
ed attività volte ad evidenziare un evento accidentale o 
intenzionale, potenzialmente dannoso alla sicurezza del 
sistema; 
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d) “resilienza”: è l’insieme delle misure volte a li- 
mitare l’impatto di un attacco o di altri eventi accidentali 
alle risorse critiche del CIS, sfruttando capacità di riconfi- 
gurazione, evitando ulteriori danni e consentendo un’ope- 
ratività minima residua; 


e) “ripristino”: è l’insieme delle misure tecniche ed 
attività volte a ristabilire le funzioni operative del siste- 
ma, secondo tempistiche prestabilite e garantendo il livel- 
lo minimo di sicurezza richiesto dall’analisi del rischio. 


2.1 CIS destinati alla trattazione di informazioni clas- 
sificate devono possedere i requisiti stabiliti nelle dispo- 
sizioni applicative del presente regolamento, nonché i 
seguenti requisiti minimi di sicurezza: 


a) software antivirus aggiornato; 


b) meccanismi di sicurezza previsti dal sistema ope- 
rativo in grado di consentire l’identificazione e l’auten- 
ticazione dell’utente, prima di consentirne l’accesso al 
sistema; 


c) sistema di monitoraggio in grado di fornire, ai fini 
della tracciabilità, informazioni circa gli accessi e le atti- 
vità svolte sul sistema CIS da ciascun utente e dall’ammi- 
nistratore di sistema. 


3.I CIS destinati alla trattazione di informazioni con 
classifica RISERVATISSIMO o superiore devono preve- 
dere predisposizioni idonee alla protezione dagli effetti 
derivanti dalle emanazioni elettromagnetiche (sicurezza 
TEMPEST). 


Art. 67. 


Sicurezza dell’interconnessione dei CIS 


1. Per interconnessione si intende la connessione diret- 
ta tra CIS, ai fini della condivisione dei dati classificati e 
delle altre risorse o servizi disponibili. I procedimenti di 
autorizzazione e di omologazione delle interconnessioni 
tra i CIS sono disciplinati dalle disposizioni applicative 
del presente regolamento. 


2. I CIS che elaborano, memorizzano o trasmettono 
informazioni classificate a livello RISERVATO possono, 
previa autorizzazione da parte dell’UCSe, utilizzare reti 
pubbliche, per interconnettersi con analoghi sistemi con 
pari livello di classifica. Tale collegamento deve realiz- 
zarsi per mezzo di dispositivi autorizzati ai fini della pro- 
tezione di informazioni classificate. Non è possibile inter- 
connettere sistemi che gestiscono dati di diversi livelli di 
classifica salvo specifica autorizzazione o omologazione 
del sistema da parte dell’UCSe. 


3. Per la trasmissione di dati con classifica superiore 
a RISERVATO tramite connessioni pubbliche su reti di 
sistemi CIS omologati è necessario impiegare soluzioni 
architetturali e dispositivi cifranti omologati dall’ UCSe. 


4. Le informazioni classificate RISERVATO possono 
essere memorizzate su personal computer portatili op- 
portunamente protetti con dispositivi cifranti autorizzati 
dall’UCSe. 


Supplemento ordinario n. 65 alla GAZZETTA UFFICIALE 


Serie generale - n. 284 


Art. 68. 


Sicurezza cibernetica dei CIS 


1. Le organizzazioni di sicurezza che impiegano CIS 
classificati adottano misure in materia di sicurezza ciber- 
netica in conformità al Quadro strategico nazionale di 
cui al decreto del Presidente del Consiglio dei ministri 
24 gennaio 2013, recante indirizzi per la protezione ciber- 
netica e la sicurezza informatica nazionale. 


2. L’UCSe svolge compiti di supervisione, coordina- 
mento e controllo della gestione degli eventi di sicurezza, 
violazioni e compromissioni alle informazioni ed ai si- 
stemi classificati, derivanti da attacchi cibernetici ai CIS 
classificati. 


Capo VII 
SICUREZZA FISICA 


Art. 69. 


Generalità 


1. AI fine di evitare che persone non autorizzate abbia- 
no accesso alle informazioni classificate ovvero coperte 
da segreto di Stato, i locali, le aree, gli edifici, gli uffici, i 
centri COMSEC, i CIS, in cui sono trattati informazioni 
classificate, sono protetti mediante specifiche misure di 
sicurezza fisica stabilite nelle disposizioni di cui al pre- 
sente Capo. 


Art. 70. 


Funzionario o Ufficiale alla sicurezza fisica 


1. Nell’ambito degli Organi centrali e delle Organizza- 
zioni di sicurezza istituiti presso ogni Ministero, struttura 
governativa, Forza armata, ente, o operatore economico 
il Funzionario o Ufficiale alla sicurezza fisica supporta 
il Funzionario o Ufficiale alla sicurezza nella predisposi- 
zione delle misure di sicurezza fisica idonee ad assicurare 
il grado di protezione necessario per ciascuna esigenza. 


2. I requisiti di sicurezza delle misure di protezione 
sono definiti dal Funzionario o Ufficiale alla sicurezza fi- 
sica sulla base di una preliminare analisi del rischio che 
tenga conto, in particolare, dei seguenti fattori: 


a) vulnerabilità delle aree e dei locali in cui sono 
trattate informazioni classificate in relazione alle minacce 
ipotizzabili; 


b) livello di classificazione delle informazioni da 
proteggere; 


c) quantità e tipologia dei supporti contenenti le in- 
formazioni classificate trattate. 


= n 
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Art. 71. 


Aree riservate 


1. Le aree dove vengono trattate informazioni classi- 
ficate a livello RISERVATISSIMO e superiore sono or- 
ganizzate e strutturate in modo da corrispondere ad una 
delle seguenti tipologie: 


a) “aree riservate di I classe”: quelle in cui l’ingresso 
consente di poter accedere direttamente alle informazioni; 


b) “aree riservate di II classe”: quelle che vengono 
protette, mediante controlli predisposti anche interna- 
mente ed in cui le informazioni classificate sono conser- 
vate in contenitori di sicurezza. 


Art. 72. 


Aree controllate 


1. In prossimità delle aree riservate di I e II classe, o per 
accedere ad esse, può essere predisposta un’area control- 
lata in cui possono essere trattate solo informazioni clas- 
sificate a livello non superiore a RISERVATO. Analoghe 
Aree controllate possono essere comunque create presso 
ogni Ministero, struttura governativa, Forza armata, ente, 
o operatore economico, anche in assenza di aree riservate 
di I e II classe, sotto la responsabilità dell’organizzazione 
di sicurezza competente, per la sola custodia e trattazio- 
ne di informazioni classificate a livello non superiore a 
RISERVATO. 


2. Le aree di cui al comma 1 sono caratterizzate da un 
perimetro chiaramente delimitato e dotate di misure di 
protezione minime tali da consentirne l’accesso alle sole 
persone autorizzate per motivi attinenti al loro impiego, 
incarico o professione. 


Art. 73. 


Misure minime di protezione 


1. Le aree riservate di I e II classe devono essere pro- 
tette con idonei sistemi di allarme e dispositivi elettronici 
per il rilevamento delle intrusioni. 


2. I sistemi e dispositivi elettronici di cui al comma 1 
devono essere dotati di misure antimanomissione ed anti- 
sabotaggio e di alimentazione elettrica sussidiaria. 


3. L'ingresso nelle aree riservate di I e II classe è con- 
trollato mediante un sistema di “passi” o di riconosci- 
mento individuale per il personale dipendente dell’ente o 
operatore economico. 


4. I sistemi di riconoscimento individuale, anche di 
tipo elettronico, utilizzati per l’accesso alle aree riservate 
e controllate devono essere gestiti dall’organizzazione di 
sicurezza dell’ente o operatore economico. 


5. Personale di vigilanza espressamente preposto effet- 
tua il controllo delle aree riservate di I e II classe durante 
e al di fuori del normale orario di lavoro, al fine di preve- 
nire rischi di manomissioni, danni o perdite di informa- 
zioni classificate. 
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6. In relazione a quanto previsto dall’art. 6 del decreto 
del Presidente del Consiglio dei ministri 12 giugno 2009, 
n. 7, nel caso in cui personale dipendente o comunque 
incaricato dagli operatori economici che hanno rapporti 
contrattuali con il DIS, l’AISE o l’AISI, debba accedere 
occasionalmente nelle sedi è accompagnato da personale 
degli organismi incaricato di esercitare la vigilanza, pre- 
vio accertamento dell’assenza di controindicazioni sul- 
la base di informazioni in atti ovvero acquisite ai sensi 
dell’art. 8 della legge 1° aprile 1981, n. 121. 


Art. 74. 


Contenitori di sicurezza camere blindate - 
attrezzatura di sicurezza 


1. Per la custodia di informazioni e materiali classifi- 
cati devono essere utilizzati contenitori di sicurezza con 
caratteristiche tecniche conformi alle disposizioni appli- 
cative del presente regolamento. 


2. Per le camere blindate costruite all’interno di un’area 
riservata di I o di II classe e per tutte le aree riservate di I 
classe nel caso di soggetti pubblici è necessario acquisire 
l’approvazione del progetto da parte dell’Organo centrale 
di sicurezza. Per gli operatori economici il progetto della 
camera blindata è approvato dall’ UCSe. 


3. Le caratteristiche delle attrezzature di sicurezza per 
la protezione delle informazioni classificate rispondono a 
criteri individuati nelle disposizioni applicative del pre- 
sente decreto. 


Art. 75. 


Protezione contro la visione o l’ascolto 
non autorizzati di informazioni sensibili 


1. Gli ambienti ove vengono trattate informazioni clas- 
sificate a livello RISERVATISSIMO e superiore ovvero 
comunque attinenti alla sicurezza e agli interessi naziona- 
li sono sottoposti a periodiche verifiche ambientali atte ad 
impedire ogni visione o ascolto clandestino. Tali verifiche 
sono disposte dall’UCSe sulla base di intese con gli Orga- 
ni Centrali di sicurezza. 


2. Le verifiche di cui al comma 1 sono, altresì, dispo- 
ste qualora il Funzionario o Ufficiale alla sicurezza com- 
petente ritenga, sulla base di motivate valutazioni, che 
sussista un rischio di compromissione di informazioni 
classificate. 


3. Le verifiche di cui ai commi 1 e 2 sono effettuate 
esclusivamente da personale abilitato. 


4. L’esigenza di verifiche ambientali è comunicata 
all’UCSe, che può procedere anche con delega. 
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Capo IX 


TUTELA AMMINISTRATIVA DELLE 
INFORMAZIONI COPERTE DA SEGRETO DI 
STATO E DEGLI ATTI RELATIVI AL SEGRETO DI 
STATO 


Art. 76. 


Annotazione 


1. In attuazione di quanto previsto dall’art. 39, com- 
ma 4, della legge, il vincolo derivante dal segreto di Stato 
è, ove possibile, annotato mediante l’apposizione della 
dicitura, ben visibile: «SEGRETO DI STATO - Provv. N. 
... del ...», completa del numero di protocollo e della data 
del relativo provvedimento, lasciando invariata e leggibi- 
le la classifica di segretezza eventualmente esistente. 


2. Quando viene a cessare il vincolo derivante dal se- 
greto di Stato la dicitura di cui al comma 1 è barrata con 
un tratto di colore rosso e, nel medesimo colore rosso, è 
apportata l’annotazione degli estremi del relativo provve- 
dimento. Quest’ultimo è conservato, in originale o copia 
conforme, agli atti dell’amministrazione procedente. 


Art. 77. 


Modalità di trattazione e di conservazione 
delle informazioni coperte da segreto di Stato 


1. In relazione a quanto disposto dall’art. 39, comma 2, 
della legge, i vertici delle amministrazioni originatrici ov- 
vero detentrici e, per il DIS, ' AISE e l’AISI i rispettivi 
direttori, pongono le informazioni coperte da segreto di 
Stato a conoscenza esclusivamente dei soggetti e delle 
autorità chiamati a svolgere, rispetto ad essi, funzioni es- 
senziali, nei limiti e nelle parti indispensabili per l’assol- 
vimento dei rispettivi compiti ed il raggiungimento dei 
fini rispettivamente fissati. 

2. In relazione a quanto disposto dall’art. 7 del decreto 
del Presidente del Consiglio dei ministri 8 aprile 2008, le 
informazioni coperte da segreto di Stato sono conservate 
nell’esclusiva disponibilità dei vertici delle amministra- 
zioni originatrici ovvero detentrici e, per quanto concerne 
il DIS, VAISE e l’AISI, dei rispettivi direttori. 


3. Per la protezione e la tutela delle informazioni coper- 
te da segreto di Stato si applicano, in quanto compatibili, 
le misure di sicurezza complessive previste a protezione 
e tutela delle informazioni classificate SEGRETISSIMO. 


4. Per assicurare il monitoraggio della situazione rela- 
tiva ai segreti di Stato le amministrazioni che detengono 
informazioni coperte da segreto di Stato comunicano an- 
nualmente all’”’Ufficio Inventario” di cui all’art. 7, com- 
ma 2, lettera a) per la parifica, gli estremi identificativi dei 
documenti in loro possesso, annotati con numero progres- 
sivo in apposito registro. A tal fine, entro centottanta giorni 
dall’entrata in vigore del presente regolamento, le ammini- 
strazioni provvedono all’istituzione del predetto registro, 
trasmettendone copia conforme all’“Ufficio Inventario”. 

5. L’elenco aggiornato dei segreti di Stato è comuni- 
cato al Comitato parlamentare per la sicurezza della Re- 
pubblica nell’ambito della relazione semestrale di cui 
all’art. 33, comma 1, della legge. 
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Art. 78. 


Atti riguardanti il segreto di Stato 


1. L’UCSe, competente agli adempimenti istrutto- 
ri relativi all’esercizio delle funzioni del Presidente del 
Consiglio dei Ministri quale Autorità nazionale per la si- 
curezza a tutela del segreto di Stato ai sensi dell’art. 9, 
comma 2, lett. a), della legge, conserva in un apposito 
archivio istituito ai sensi del decreto del Presidente del 
Consiglio dei ministri n. 2 del 12 giugno 2009 e con mo- 
dalità atte ad impedirne la manipolazione, la sottrazione o 
la distruzione, gli atti concernenti: 


a) le istruttorie per l’apposizione o la conferma 
dell’opposizione, definite o in corso, indipendentemente 
dal loro esito; 


b) le istanze di accesso ai sensi dell’art. 39, com- 
ma 7, della legge; 


c) i registri inventario di cui all’art. 77, comma 4. 


Capo X 


ACCESSO AGLI ATTI E OBBLIGO 
DI NON DIVULGAZIONE 


Art. 79. 


Accesso agli atti relativi 
alle abilitazioni di sicurezza 


1. Il diritto di accesso agli atti relativi ai procedimenti 
di rilascio, proroga, diniego, sospensione limitazione o 
revoca delle abilitazioni di sicurezza è escluso nei casi 
previsti dalla legge 7 agosto 1990, n. 241, e successive 
modifiche e integrazioni, nei casi di sottrazione all’acces- 
so previsti dai regolamenti vigenti in materia e comunque 
ove sussistano motivi di tutela della riservatezza del mo- 
dus operandi o degli interna corporis degli organismi di 
informazione per la sicurezza o di protezione delle fonti 
o di difesa della sicurezza nazionale o qualora si tratti di 
notizie acquisite dall’ Autorità Giudiziaria o dalle Forze di 
polizia nell’ambito di attività di indagine. 


Art. 80. 


Obbligo di non divulgazione 


1. Agli appartenenti ai Servizi di informazione per la 
sicurezza ed alle Forze di polizia è fatto obbligo di non 
divulgare informazioni che abbiano formato oggetto di 
scambio informativo ai sensi dell’art. 4, comma 3, lett. e), 
della legge, attinenti agli assetti organizzativi, alle mo- 
dalità operative degli stessi Servizi e all’identità dei loro 
appartenenti. 
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Capo XI 
DISPOSIZIONI FINALI 


Art. 81. 
Misure di efficienza 


1. Entro centottanta giorni dalla data di entrata in vi- 
gore del presente regolamento sono adottati sistemi di 
comunicazione telematica fra il DIS e le Agenzie per lo 
scambio delle informazioni relative alle abilitazioni. 


2. Il DIS promuove la realizzazione di reti telematiche 
sicure per lo scambio di informazioni con il Ministero 
dell’Interno, l’ Arma dei Carabinieri, la Guardia di Finan- 
za e le altre amministrazioni interessate al fine della più 
efficiente comunicazione delle informazioni nell’ambito 
delle procedure finalizzate al rilascio delle abilitazioni. 


3. Nell’ambito delle iniziative di diffusione della cul- 
tura della sicurezza, il DIS promuove, anche attraverso il 
sito web del comparto, la conoscenza delle misure e pro- 
cedure di tutela delle informazioni oggetto di disciplina 
del presente regolamento, sviluppando modalità interat- 
tive per i rapporti con le amministrazioni e le imprese in 
materia di abilitazioni di sicurezza industriale. 


Art. 82. 
Disposizioni transitorie 


1. L'efficacia dei NOS fino a SEGRETO e quella del- 
le relative qualifiche, la cui validità sia scaduta alla data 
di entrata in vigore del presente regolamento, per i quali 
siano pervenute le richieste di rinnovo fino a dodici mesi 
prima della medesima data e non siano state completate 
le procedure di rinnovo, è prorogata al 31 dicembre del 
sesto anno successivo alla scadenza. 

2. Per il rilascio dei NOS fino a livello SEGRETISSI- 
MO, la cui istruttoria non sia stata completata alla data di 
entrata in vigore del presente regolamento, si applicano le 
disposizioni di cui ai commi 6, 7 e 8 dell’art. 27. 

3. I certificati dei NOS e delle AT rilasciati prima 
dell’entrata in vigore del presente regolamento sono de- 
classificati e sono custoditi dall’ Autorità che li ha origi- 
nati. Ove al rilascio abbia provveduto 1’UCSe, gli stessi 
certificati vengono conservati secondo le vigenti dispo- 
sizioni, dal soggetto pubblico o privato che ne ha fatto 
istanza, anche per il personale che non ha più necessità di 
accedere alle informazioni classificate. 
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4. Le omologazioni EAD e COMSEC in corso di vali- 
dità alla data di entrata in vigore del decreto del Presiden- 
te del Consiglio dei ministri 22 luglio 2011 sono proroga- 
te fino al rinnovo qualora non siano emerse variazioni alla 
configurazione o controindicazioni ai fini della sicurezza. 


5. Fino all’emanazione delle nuove disposizioni tec- 
niche e di dettaglio finalizzate ad adeguare la disciplina 
applicativa ai principi di cui al presente regolamento ed 
agli accordi internazionali di settore, continuano a trovare 
applicazione, per quanto non in contrasto con la legge e 
con le norme contenute nel presente decreto, le direttive 
emanate dall’ Autorità nazionale per la sicurezza ai sensi e 
per gli effetti dell’art. 50, comma 1, del decreto del Presi- 
dente del Consiglio dei ministri 3 febbraio 2006, recante 
«Norme unificate per la protezione e la tutela delle infor- 
mazioni classificate», pubblicato nella Gazzetta Ufficiale 
- Serie generale, n. 46 del 24 febbraio 2006. 


Art. 83. 


Abrogazioni 


1. Dalla data di entrata in vigore del presente regola- 
mento è abrogato il decreto del Presidente del Consiglio 
dei ministri 22 luglio 2011, n. 4, ad eccezione dell’art. 76 
e dell’art. 77. 


2. In tutte le disposizioni vigenti, l’espressione “Orga- 
no principale di sicurezza” si intende riferita alla Segrete- 
ria principale di sicurezza. 


Art. 84. 


Disposizioni finali ed entrata in vigore 


1. L'attuazione del presente regolamento non comporta 
nuovi o maggiori oneri a carico della finanza pubblica. 

2. Il presente regolamento non è sottoposto al visto ed 
alla registrazione della Corte dei conti in quanto adottato 
ai sensi dell’art. 43 della legge, in deroga alle disposizioni 
dell’art. 17 della legge 23 agosto 1988, n. 400. 

3. Il presente regolamento entra in vigore il quindice- 
simo giorno successivo a quello della sua pubblicazione 
nella Gazzetta Ufficiale della Repubblica italiana. 


Roma, 6 novembre 2015 


Il Presidente: RENZI 
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LOREDANA COLECCHIA, redattore 
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